Microsoft a révisé son bulletin de sécurité associé à la CVE-2026-32202 pour indiquer que cette vulnérabilité était exploitée. Voici ce qu’il faut savoir sur cette faille de sécurité qui affecte autant Windows que Windows Server.

CVE-2026-32202 : une faille dans Windows Shell

Divulguée le 14 avril 2026 à l’occasion de la sortie du Patch Tuesday de ce mois-ci, cette vulnérabilité associée à la référence CVE-2026-32202 se situe au niveau de l’interface Windows Shell. C’est un composant essentiel au bon fonctionnement de Windows, en particulier dans la gestion des accès aux objets (voir cette page).

Cette vulnérabilité de type spoofing est décrite de la façon suivante par la firme de Redmond : “Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait consulter certaines informations sensibles, mais toutes les ressources du composant concerné ne seraient pas nécessairement divulguées à l’attaquant. L’attaquant ne peut pas modifier les informations divulguées ni restreindre l’accès à la ressource.”

Elle permettrait donc à un attaquant d’accéder à des informations sensibles, sans pour autant être en mesure de les modifier. L’exploitation passe par un fichier malveillant qu’un attaquant aurait transmis à un utilisateur et que ce dernier exécuterait sur sa machine.

Jusqu’ici, cette vulnérabilité n’a pas fait réellement parler d’elle. Néanmoins, le 27 avril 2026, Microsoft a révisé la page associée à cette mise à jour pour indiquer qu’elle était exploitée par les cybercriminels. Aucune précision n’a été apportée à ce sujet par l’entreprise américaine.

L’ombre du groupe APT28…

En effectuant quelques recherches sur le nom de cette CVE, je suis tombé sur un rapport publié par Akamai et rédigé par Maor Dahan. Selon lui, cette vulnérabilité est la conséquence d’un patch incomplet déployé pour corriger une précédente faille de sécurité : la CVE-2026-21510 (CVSS 8.8 sur 10), patchée par Microsoft en février 2026.

Surtout, elle aurait été exploitée par un groupe lié à l’État russe : APT28, également connu sous d’autres noms, dont Fancy Bear. Dans le cadre d’une campagne menée en décembre 2025 ciblant l’Ukraine et plusieurs pays de l’Union européenne, ces pirates ont utilisé des fichiers de raccourcis Windows malveillants.

Le chercheur d’Akamai détaille ce mode opératoire : “APT28 exploite le mécanisme d’analyse de l’espace de noms Windows Shell pour charger une bibliothèque de liens dynamiques (DLL) à partir d’un serveur distant à l’aide d’un chemin UNC. La DLL est chargée dans le cadre des objets du Panneau de configuration (CPL) sans validation appropriée de la zone réseau.” – Cette dernière phrase fait référence à l’identifiant de zone qui est ignoré (champ ).

Le correctif intégré en février 2026 limite le risque d’exécution de code à distance (RCE) en forçant une vérification SmartScreen, ce dernier étant préalablement contourné. Néanmoins, il permettait toujours à la machine de la victime de s’authentifier auprès du serveur pirate sans aucune interaction de l’utilisateur.

Cette technique repose sur l’utilisation d’une connexion SMB initiée vers le serveur de l’attaquant. C’est à ce moment qu’une tentative d’authentification via le protocole NTLM est également initiée, et là c’est la porte ouverte au vol d’identifiants.

“Cette connexion SMB (Server Message Block) déclenche une procédure d’authentification NTLM automatique, envoyant ainsi le hachage Net-NTLMv2 de la victime à l’attaquant, qui pourra ensuite l’utiliser pour mener des attaques par relais NTLM et des attaques hors ligne pour craquer le mot de passe.”, précise le chercheur.

Finalement, la vulnérabilité aurait été exploitée à minima par le groupe APT28. Si vous désirez vous protéger de cette menace, vous devez installer les mises à jour d’avril 2026 sur vos machines Windows 10, Windows 11 et Windows Server (2012 à 2025).