Exploitation confirmée du jour zéro Windows CVE-2026-32202

Une vulnérabilité de Windows Shell, corrigée lors du Patch Tuesday de ce mois-ci, a été confirmée comme étant activement exploitée dans la nature. La CISA a ajouté aujourd'hui la vulnérabilité CVE-2026-32202 à son catalogue de vulnérabilités connues et exploitées, et a demandé aux agences fédérales américaines d'appliquer les correctifs avant le 12 mai. Cette faille existe parce que le correctif apporté par Microsoft en février 2026 à une vulnérabilité connexe a laissé une faille d'authentification que les attaquants ont depuis lors exploitée.

La faille originale, CVE-2026-21510, était une défaillance du mécanisme de protection Windows Shell exploitée dans des attaques contre l'Ukraine et des pays de l'UE en décembre 2025. Microsoft a corrigé la faille CVE-2026-21510 en février et l'a signalée comme étant activement exploitée à l'époque. Ce qu'il n'a pas signalé, c'est que le correctif laissait une faille.

Comment la correction incomplète a laissé une porte ouverte

La société de cybersécurité Akamai a analysé le correctif de février et a constaté qu'il bloquait le composant d'exécution de code à distance, mais qu'il laissait un vecteur de coercition d'authentification ouvert. Lorsque l'explorateur Windows affiche un dossier contenant un fichier raccourci LNK malveillant, il résout automatiquement tout chemin UNC intégré dans ce fichier. Si ce chemin pointe vers un serveur contrôlé par l'attaquant, Windows établit une connexion SMB et envoie le hachage NTLMv2 de la victime à l'attaquant sans que la victime n'ait besoin d'ouvrir ou d'exécuter le fichier.

Il suffit de parcourir le dossier dans lequel le raccourci a été téléchargé pour déclencher l'attaque.

Cette faille résiduelle est devenue CVE-2026-32202. Microsoft l'a corrigée dans le Patch Tuesday d'avril, le 14 avril, mais l'a marquée de manière incorrecte à l'époque, sans indicateur d'exploitation. Le 27 avril, Microsoft a mis à jour l'avis pour corriger l'indice d'exploitabilité et confirmer l'exploitation active. La CISA l'a ajouté au catalogue KEV aujourd'hui.

Pourquoi le score CVSS est trompeur

CVE-2026-32202 a un score CVSS de 4,3, ce qui correspond à un niveau de gravité moyen. Ce chiffre sous-estime le risque réel. Le hachage NTLMv2 volé sur https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-windows-flaw-exploited-in-zero-day-attacks/ volé peut être utilisé dans des attaques de relais pour s'authentifier en tant qu'utilisateur compromis sur d'autres systèmes sur le même réseau, ou craqué hors ligne pour récupérer le mot de passe en clair.

En pratique, la chaîne d'attaque permet à un adversaire de procéder à un mouvement latéral et à une escalade des privilèges, et pas seulement à une divulgation limitée d'informations.

Le correctif est inclus dans la mise à jour cumulative KB5083769 du 20 avril 2026 pour Windows 11 versions 24H2 et 25H2. Il s'agit de la même mise à jour qui provoque actuellement des boucles de démarrage sur un sous-ensemble de machines HP et Dell. Les utilisateurs qui ne l'ont pas encore appliquée restent exposés à un vecteur confirmé de vol d'informations d'identification par simple clic. Les personnes déjà touchées par le problème de la boucle de démarrage KB5083769 doivent suivre les conseils de récupération de Microsoft avant d'appliquer la mise à jour.

Étrangement, Microsoft est en train de force-upgrading les PC non gérés sous Windows 11 24H2 vers 25H2 avant la fin du support le 13 octobre, mais KB5083769 envoie encore certaines machines dans des boucles de démarrage irrécupérables.