Zero-day MSHTML Windows : comment APT28 a exploité CVE-2026-21513 avant la mise à jour de février 2026

Zero-day MSHTML Windows : la faille qui a mis en danger les utilisateurs français

En 2026, Microsoft a publié son Patch Tuesday contenant 59 correctifs, dont un zero-day critique dans le framework MSHTML de Windows (CVE-2026-21513). Cette vulnérabilité a été activement exploitée par le groupe APT28 avant même la diffusion du correctif de février. MSHTML (ieframe.dll) gère la navigation des hyperliens dans Internet Explorer et, par ricochet, dans les applications qui l’intègrent. Dès les premiers jours de janvier 2026, des chercheurs d’Akamai ont observé des campagnes ciblées qui contournèrent les protections du sandbox, déclenchant l’exécution de code arbitraire via la fonction ShellExecuteExW.

« La chaîne d’exploitation repose sur un fichier raccourci Windows (.lnk) contenant une charge HTML dissimulée, capable de contourner le Mark of the Web et l’IE Enhanced Security Configuration », explique un analyste d’Akamai.

Analyse technique de la faille

Le problème provient d’une validation insuffisante des URL cibles au sein du module ieframe.dll. Lorsque le composant reçoit une URL malformée, il transmet directement la chaîne à ShellExecuteExW, qui lance le fichier ou le protocole indiqué sans contrôle supplémentaire. Cette faiblesse ouvre la porte à une élévation de privilèges depuis le navigateur vers le système d’exploitation.

• Point d’injection : hyperliens contenant des protocoles non-standard ou des chemins de fichiers locaux.
• Mécanisme d’escalade : appel de ShellExecuteExW avec le paramètre SEE_MASK_NOCLOSEPROCESS.
• Résultat : exécution de binaires malveillants, téléchargement de chargeurs multi-stades, et prise de contrôle totale du poste.

En pratique, l’exploitation s’appuie sur un fichier .lnk spécial. Le fichier se compose d’une structure Windows standard, à laquelle s’ajoute, à la fin, un payload HTML codé en base64. Lorsqu’un utilisateur double-clique sur le raccourci, le navigateur embarqué (MSHTML) interprète le contenu HTML, ouvre une iframe cachée et invoque la fonction vulnérable, contournant ainsi les protections du sandbox.

Impact sur les organisations françaises

Selon le rapport annuel de l’ANSSI 2025, 38 % des incidents de cybersécurité impliquaient des vulnérabilités de type zero-day. Le CVSS de CVE-2026-21513 est évalué à 8,8 (High), ce qui signifie un risque élevé de compromission pour toute machine non patchée. En outre, le Microsoft Security Intelligence Report 2026 signale une hausse de 12 % du nombre d’exploits actifs par rapport à 2025, soulignant la pression croissante exercée par les acteurs étatiques.

« La combinaison d’un vecteur de diffusion (.lnk) et d’une charge HTML rend la détection traditionnelle par les solutions anti-phishing beaucoup plus difficile », indique le même analyste d’Akamai.

Les secteurs les plus touchés comprennent les administrations publiques, les cabinets d’avocats et les entreprises de santé, où les fichiers .lnk sont souvent partagés via des réseaux internes. Par ailleurs, les escroqueries de type pig‑butchering en cryptomonnaie, détaillées dans cet article, illustrent la diversité des vecteurs de fraude modernes. escroqueries de type pig‑butchering en cryptomonnaie Une compromission peut entraîner la fuite de données sensibles, la perte de disponibilité et la mise en péril de la conformité au RGPD.

Le groupe APT28 et ses tactiques de compromission

APT28, également connu sous le nom de Fancy Bear, est un groupe soutenu par l’État russe, réputé pour ses campagnes de cyber-espionnage ciblant les gouvernements et les organisations stratégiques. Depuis 2014, le groupe a utilisé des techniques de living-off-the-land (exploitation d’outils natifs) et des livrables déguisés en documents Office ou en raccourcis Windows.

Le botnet Aeternum exploite la blockchain Polygon pour ses C2, comme détaillé dans cet article. Botnet Aeternum et la blockchain Polygon

Chaîne d’exploitation détaillée

1. Diffusion du .lnk - Le fichier est envoyé par email de spear-phishing ou partagé via un serveur de fichiers interne.
2. Activation du raccourci - L’utilisateur double-clique, déclenchant le moteur MSHTML.
3. Chargement du payload HTML - La page cachée charge une iframe pointant vers un domaine contrôlé (ex. wellnesscaremed.com).
4. Contournement du sandbox - Le script exploite la faille de validation pour invoquer ShellExecuteExW.
5. Installation du chargeur - Le chargeur télécharge un module malveillant supplémentaire, souvent un Cobalt Strike beacon.
6. Établissement du canal C2 - Communication chiffrée avec les serveurs de commande et contrôle du groupe.

Cette séquence montre comment APT28 maximise la portée d’une simple action d’utilisateur, transformant un clic en compromission totale.

Détection et réponse face à la menace

Pour les équipes SOC françaises, la détection de ce type d’attaque nécessite une approche multi-couches :

• Surveillance des événements Windows : filtrer les appels à ShellExecuteExW avec des paramètres inhabituels (ex. protocoles non HTTP/HTTPS).
• Analyse de fichiers .lnk : mettre en place une règle YARA qui identifie les raccourcis contenant une section de données HTML encodée.
• Inspection du trafic DNS : surveiller les résolutions vers des domaines récemment créés ou non répertoriés dans les listes de confiance.
• Intégration de l’Intelligence Threat : consommer les flux de renseignement d’Akamai, de l’ANSSI et de l’ISO 27001 pour enrichir les indicateurs de compromission (IOC).

En pratique, les organisations doivent appliquer les contrôles suivants :

Bloc de code informatif

# Exemple de règle PowerShell pour détecter les appels ShellExecuteExW suspectés
Get-WinEvent -LogName Security | Where-Object {
    $_.Message -match "ShellExecuteExW" -and $_.Message -notmatch "http|https"
} | Select-Object TimeCreated, Id, Message | Export-Csv -Path "C:\Logs\ShellExecAlerts.csv" -NoTypeInformation

Ce script interroge le journal de sécurité Windows, filtre les appels à ShellExecuteExW qui ne concernent pas les protocoles web standards, puis exporte les résultats pour analyse.

Mise en œuvre - Étapes de mitigation pour les entreprises françaises

1. Application immédiate du correctif - Dès sa disponibilité en février 2026, déployer le patch via WSUS ou Microsoft Endpoint Manager.
2. Renforcement des politiques de téléchargement - Restreindre les extensions .lnk dans les pièces jointes et les partages de fichiers internes.
3. Déploiement d’une solution EDR - Utiliser un outil capable de bloquer les appels système suspects et de fournir une visibilité en temps réel.
4. Formation des utilisateurs - Sensibiliser aux risques liés aux raccourcis Windows et aux emails de phishing ciblés.
5. Audit de conformité - Vérifier la conformité aux exigences de l’ANSSI (Guide d’hygiène informatique) et du RGPD concernant la protection des données personnelles.
6. Simulation de pénétration - Effectuer des tests de pénétration internes pour valider l’efficacité des contrôles mis en place.

Ces mesures, combinées à une veille permanente sur les indicateurs de compromission publiés par les organismes français et internationaux, permettent de réduire significativement le risque d’exploitation future.

Conclusion - Prochaine action à entreprendre

La découverte du zero-day MSHTML Windows (CVE-2026-21513) exploité par APT28 illustre la rapidité avec laquelle les acteurs étatiques peuvent s’emparer d’une faille avant la diffusion d’un correctif. En 2026, la menace est réelle et les impacts potentiels - perte de données, atteinte à la souveraineté numérique et sanctions RGPD - sont majeurs.

Votre prochaine étape : assurez-vous que le correctif de février 2026 est déployé sur l’ensemble de votre parc Windows, activez les contrôles de ShellExecuteExW et intégrez les IOC d’Akamai dans votre plateforme SIEM. En adoptant une posture proactive, vous transformerez une vulnérabilité critique en une opportunité de renforcer votre résilience cyber.

Pour optimiser votre profil professionnel, consultez notre guide complet pour créer un CV cybersécurité efficace. Guide complet – Créez un CV cybersécurité 2026