Microsoft Confirms Active Exploitation of Windows Shell CVE-2026-32202

1 minute de lecture

Mis à jour : April 28, 2026

Exploitation active de la vulnérabilité Windows Shell CVE-2026-32202

Microsoft a confirmé l’exploitation active de la faille CVE-2026-32202, une vulnérabilité de type “spoofing” (usurpation) au sein de Windows Shell, initialement corrigée lors du Patch Tuesday d’avril 2026. Cette faille, découverte par Akamai, découle d’un correctif incomplet pour une vulnérabilité antérieure (CVE-2026-21510) utilisée par le groupe APT28.

Points clés :

Mécanisme d’attaque : La vulnérabilité permet à un attaquant de forcer l’authentification NTLM d’une victime via une connexion SMB automatique.
Vecteur d’exploitation : Un attaquant envoie un fichier malveillant (souvent un raccourci LNK) qui, une fois traité par Windows, déclenche une résolution de chemin UNC vers un serveur distant.
Conséquences : Bien que limitée en termes d’exécution de code à distance, cette faille permet le vol d’identifiants (Net-NTLMv2 hash) pouvant être réutilisés dans des attaques de relais NTLM ou du cassage de mots de passe hors ligne.
Contexte : Elle est liée aux activités du groupe APT28, qui exploite des failles dans le traitement des objets du Panneau de configuration (CPL) pour contourner les protections de sécurité.

Vulnérabilités associées :

CVE-2026-32202 : Vulnérabilité de spoofing dans Windows Shell (Score CVSS : 4.3). Permet la divulgation d’informations sensibles via une authentification forcée.
CVE-2026-21510 & CVE-2026-21513 : Vulnérabilités critiques (Score CVSS : 8.8) précédemment exploitées par APT28 pour l’exécution de code à distance, dont le correctif partiel a mené à la découverte de la faille actuelle.

Recommandations :

Appliquer les mises à jour : S’assurer que les correctifs de sécurité de Microsoft publiés en avril 2026 sont bien déployés sur l’ensemble du parc informatique.
Surveillance : Être vigilant face aux fichiers LNK suspects et surveiller les tentatives de connexion SMB inhabituelles ou sortantes vers des adresses non approuvées.
Durcissement : Limiter l’exposition aux protocoles d’authentification hérités (NTLM) lorsque cela est possible pour atténuer les risques liés aux attaques de relais.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Microsoft Confirms Active Exploitation of Windows Shell CVE-2026-32202

Exploitation active de la vulnérabilité Windows Shell CVE-2026-32202

Partager sur

Vous pourriez aimer

Why Secure Data Movement Is the Zero Trust Bottleneck Nobody Talks About

Le goulot d’étranglement méconnu du Zero Trust : la sécurisation du transfert de données

What Anthropic’s Mythos Means for the Future of Cybersecurity

L’impact de Claude Mythos sur la cybersécurité autonome

Weekly Update 501

L’émergence d’une politique d’éthique pour les agents conversationnels

VECT: Ransomware by design, Wiper by accident

VECT : Un Ransomware qui se comporte comme un destructeur de données