🔍 Contexte

Publié le 23 avril 2026 par Maor Dahan (Akamai Security Research), cet article détaille la découverte d’une vulnérabilité résiduelle (CVE-2026-32202) résultant d’un patch incomplet de Microsoft pour CVE-2026-21510, une faille zero-day exploitée par le groupe APT28 (Fancy Bear).

🎯 Campagne initiale APT28

Selon CERT-UA, APT28 a lancé une cyberattaque ciblant l’Ukraine et plusieurs pays de l’UE en décembre 2025. La campagne utilisait un fichier LNK weaponisé exploitant deux vulnérabilités en chaîne :

  • CVE-2026-21513 : première vulnérabilité de la chaîne d’exploitation
  • CVE-2026-21510 : bypass de Microsoft Defender SmartScreen via chargement d’une DLL depuis un serveur distant via un chemin UNC, sans validation de zone réseau

Le mécanisme repose sur la manipulation de la structure LinkTargetIDList du fichier LNK, exploitant le parsing du namespace shell Windows pour charger un objet CPL (Control Panel) depuis un serveur attaquant.

🩹 Analyse du patch Microsoft (Patch Tuesday février 2026)

Microsoft a corrigé ces vulnérabilités en introduisant un nouvel objet COM ControlPanelLinkSite qui agit comme pont entre le chemin de lancement CPL et le mécanisme de vérification de confiance de ShellExecute. Le patch active SmartScreen via un nouveau bit fMask (0x08000000) et déclenche la vérification MotW/signature numérique.

⚠️ Patch incomplet : CVE-2026-32202

Akamai a constaté que malgré le patch, la machine victime s’authentifiait toujours auprès du serveur attaquant. La vérification de confiance ajoutée par Microsoft ne s’active qu’au moment de l’appel ShellExecuteExW, mais un stade antérieur dans la chaîne déclenche déjà la connexion :

  • La fonction CControlPanelFolder::GetUIObjectOf est appelée avant toute vérification SmartScreen
  • L’appel PathFileExistsW dans GetModuleMapped résout le chemin UNC et initie une connexion SMB
  • Cette connexion se produit dès qu’Explorer affiche le contenu d’un dossier contenant le LNK malveillant, sans aucun clic utilisateur
  • La connexion SMB déclenche un handshake NTLM automatique, envoyant le hash Net-NTLMv2 de la victime à l’attaquant
  • Ce hash peut être utilisé pour des attaques NTLM relay ou du cracking offline

📋 Résumé des CVE impliquées

CVE Type Statut
CVE-2026-21513 Exploitation LNK Patché
CVE-2026-21510 SmartScreen bypass / RCE Patché
CVE-2026-32202 Coercition d’authentification zero-click Patché après divulgation Akamai

📌 Type d’article

Il s’agit d’une publication de recherche technique combinant analyse de vulnérabilité, reverse engineering de patch et divulgation responsable coordonnée avec Microsoft MSRC.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1204.002 — User Execution: Malicious File (Execution)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1187 — Forced Authentication (Credential Access)
  • T1550.002 — Use Alternate Authentication Material: Pass the Hash (Lateral Movement)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1553.005 — Subvert Trust Controls: Mark-of-the-Web Bypass (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)

IOC

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ✅ akamai.com — source reconnue (Rösti community) (20pts)
  • ✅ 12363 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : APT28 (5pts)
  • ⬜ 0/3 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.akamai.com/blog/security-research/incomplete-patch-apt28s-zero-day-cve-2026-32202