Selon TrendAI Research Team (extrait d’un rapport TrendAI Research Services), une vulnérabilité CVE-2026-20841 affectant le Bloc‑notes Windows a été analysée et corrigée par Microsoft en février 2026. Le bug, découvert initialement par Cristian Papa et Alasdair Gorniak (Delta Obscura), permet une exécution de code arbitraire suite à une validation insuffisante des liens Markdown traités par Notepad.
• Produits/versions concernés : Windows Notepad (version moderne avec rendu Markdown et fonctionnalités Copilot). Le rendu Markdown est déclenché pour les fichiers avec extension .md, déterminé via une comparaison de chaîne fixe par l’appel interne sub_1400ED5D0(). Le clic sur les liens est géré par sub_140170F60(), qui filtre insuffisamment l’URI avant de l’envoyer à ShellExecuteExW(). Des URI malicieuses (ex. file://, ms-appinstaller://) peuvent ainsi mener à l’exécution de commandes/fichiers dans le contexte de l’utilisateur. Remarque : toute séquence « \ » est normalisée en « \ » avant l’appel.
• Scénario d’exploitation (prérequis d’interaction utilisateur) 🚨 : un attaquant incite la victime à télécharger/ouvrir un fichier Markdown (.md) dans Notepad et à cliquer sur un lien malveillant. L’utilisation de gestionnaires de protocoles par ShellExecuteExW() peut exposer d’autres schémas exploitables selon la configuration du système.
• Détection proposée par TrendAI 🔎 :
- Surveiller l’acheminement de fichiers .md via ces protocoles/ports: FTP (21/20 TCP), HTTP (80 TCP), HTTPS (443 TCP), IMAP (143 TCP), NFS (2049 TCP/UDP, 111 TCP/UDP), POP3 (110 TCP), SMTP (25/587 TCP), SMB/CIFS (139/445 TCP).
- Inspecter le contenu des fichiers pour des liens contenant “file:” ou “ms-appinstaller:” (recherche insensible à la casse).
- Regex indicatives (insensibles à la casse) pour ressources distantes : • (\x3C|[[^\x5d]+]()file:(\x2f|\x5c\x5c){4} • (\x3C|[[^\x5d]+]()ms-appinstaller:(\x2f|\x5c\x5c){2}
- Si correspondance, considérer le trafic comme malveillant (détection couvrant aussi un PoC public récemment publié sur GitHub). Notes : le correctif Microsoft restreint aux fichiers locaux et URI HTTP(S), ce qui peut générer de faux positifs, et ce guidage ciblé peut produire des faux négatifs.
• Notes complémentaires 🛠️ : Les fichiers .md ne sont pas associés par défaut à Notepad mais, ouverts manuellement, ils sont rendus en Markdown, permettant le déclenchement de la vulnérabilité. Microsoft a publié un correctif durant le cycle de mises à jour de février 2026; aucun contournement n’est listé par l’éditeur hormis la nécessité d’une interaction utilisateur.
• TTPs et IoCs:
- TTPs: abus de gestionnaires de protocoles (file://, ms-appinstaller://); exécution via ShellExecuteExW(); rendu/tokenisation Markdown déclenché par l’extension .md; normalisation des antislashs; livraison du leurre via multiples canaux (FTP/HTTP(S)/mail/SMB/NFS…); nécessité d’un clic utilisateur sur un lien Markdown.
- IoCs: aucun indicateur technique (hash/IP/domain) fourni dans l’extrait.
Conclusion: Il s’agit d’un extrait d’analyse technique/rapport de vulnérabilité visant à documenter la faille, ses mécanismes, et à fournir des pistes de détection, avec mention du correctif Microsoft de février 2026.
🧠 TTPs et IOCs détectés
TTP
abus de gestionnaires de protocoles (file://, ms-appinstaller://); exécution via ShellExecuteExW(); rendu/tokenisation Markdown déclenché par l’extension .md; normalisation des antislashs; livraison du leurre via multiples canaux (FTP/HTTP(S)/mail/SMB/NFS…); nécessité d’un clic utilisateur sur un lien Markdown.
IOC
aucun indicateur technique (hash/IP/domain) fourni dans l’extrait.
🔗 Source originale : https://www.zerodayinitiative.com/blog/2026/2/19/cve-2026-20841-arbitrary-code-execution-in-the-windows-notepad