🗓️ Contexte
Publié le 28 avril 2026 par The Cyber Security Hub sur LinkedIn, cet article rapporte la confirmation par Microsoft de l’exploitation active de CVE-2026-32202, une vulnérabilité affectant le composant Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026.
🔍 Détails de la vulnérabilité
- CVE-2026-32202 : score CVSS 4.3, classée comme « protection mechanism failure » permettant des attaques de spoofing via le réseau
- Nécessite une interaction utilisateur (ouverture d’un fichier malveillant)
- Permet l’accès à des informations sensibles partielles, sans modification de données ni perturbation de disponibilité
- Découverte par Maor Dahan (Akamai), identifiée comme remédiation incomplète de CVE-2026-21510
Le 27 avril 2026, Microsoft a révisé son advisory pour corriger la classification d’exploitabilité, le vecteur CVSS et le statut d’exploitation.
🔗 Vulnérabilités associées
| CVE | CVSS | Statut |
|---|---|---|
| CVE-2026-21510 | 8.8 | Patchée en février 2026 |
| CVE-2026-21513 | 8.8 | Patchée en février 2026 |
| CVE-2026-32202 | 4.3 | Patchée avril 2026, exploitation confirmée |
CVE-2026-21510 et CVE-2026-21513 ont été exploitées dans des attaques coordonnées attribuées à APT28.
⚙️ Mécanisme d’exploitation
La chaîne d’attaque repose sur des fichiers LNK (Windows Shortcut) malveillants :
- Un fichier LNK référence un chemin UNC vers un serveur contrôlé par l’attaquant (ex.
\\attacker.com\share\payload.cpl) - Windows tente automatiquement une connexion SMB
- Un handshake NTLM est déclenché, transmettant le hash Net-NTLMv2 de la victime à l’attaquant
- Ces hashes peuvent être utilisés pour du credential relay ou du cracking hors-ligne
Sous certaines conditions, ce vecteur peut opérer en mode « zero-click » avec peu ou pas d’interaction visible de l’utilisateur.
Le patch de février 2026 avait introduit une validation SmartScreen des fichiers CPL téléchargés, mais n’avait pas empêché les tentatives d’authentification automatiques lors de la résolution de chemins UNC.
🌍 Ciblage géographique
Les campagnes liées aux vulnérabilités associées ont ciblé des entités en Ukraine et dans l’Union Européenne fin 2025, en cohérence avec les opérations d’espionnage attribuées à APT28 (alias Fancy Bear, Forest Blizzard).
📰 Type d’article
Article de presse spécialisée à visée informative, synthétisant la confirmation Microsoft, l’analyse technique de la chaîne d’exploitation et le contexte géopolitique des campagnes associées.
🧠 TTPs et IOCs détectés
Acteurs de menace
- APT28 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1547.009 — Boot or Logon Autostart Execution: Shortcut Modification (Persistence)
- T1187 — Forced Authentication (Credential Access)
- T1557 — Adversary-in-the-Middle (Credential Access)
- T1550.002 — Use Alternate Authentication Material: Pass the Hash (Lateral Movement)
- T1071.002 — Application Layer Protocol: File Transfer Protocols (Command and Control)
IOC
- CVEs :
CVE-2026-32202— NVD · CIRCL - CVEs :
CVE-2026-21510— NVD · CIRCL - CVEs :
CVE-2026-21513— NVD · CIRCL
🟡 Indice de vérification factuelle : 55/100 (moyenne)
- ⬜ linkedin.com — source non référencée (0pts)
- ✅ 8114 chars — texte complet (fulltext extrait) (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : APT28 (5pts)
- ⬜ 0/3 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.linkedin.com/pulse/warning-windows-shell-flaw-cve-2026-32202-actively-em86f