CVE-2026-32202 : Windows Shell exploité par APT28, CISA donne 6 jours

Les faits

Le 29 avril 2026, Microsoft a mis à jour son advisory pour CVE-2026-32202 afin de confirmer ce que les chercheurs d'Akamai annonçaient depuis plusieurs jours : la vulnérabilité est exploitée activement, dans le cadre d'opérations attribuées à APT28, le groupe d'espionnage rattaché au GRU russe. CISA a réagi en ajoutant CVE-2026-32202 à son catalogue Known Exploited Vulnerabilities (KEV), avec une échéance de remédiation fixée au 12 mai 2026 pour les agences fédérales américaines, soit l'une des fenêtres les plus courtes prononcées par l'agence ces derniers mois.

Techniquement, CVE-2026-32202 est qualifiée par Microsoft de "Windows Shell Spoofing Vulnerability" avec un score CVSS de 4.3 — une note basse qui sous-estime largement le risque opérationnel. La faille permet à un attaquant de forcer la victime à initier une connexion SMB vers un serveur contrôlé par l'attaquant, simplement lorsque l'utilisateur ouvre un dossier contenant un fichier LNK (raccourci) malveillant. L'Explorateur Windows tente alors de récupérer l'icône du raccourci, ce qui déclenche l'authentification NTLMv2 vers le serveur distant.

Le hash NTLMv2 ainsi capturé peut ensuite être utilisé en relais pour s'authentifier sur d'autres systèmes du même domaine, ou cassé hors-ligne pour récupérer le mot de passe en clair si celui-ci est faible. C'est précisément ce scénario que les chercheurs d'Akamai ont documenté dans une analyse publiée fin avril, où ils décrivent une chaîne d'exploitation reliant CVE-2026-21510 (corrigée en janvier mais incomplètement), CVE-2026-21513 et finalement CVE-2026-32202. Les trois vulnérabilités partagent la même racine : un bug dans la façon dont Windows traite les fichiers LNK, exploité via du "zero-click" — la victime n'a même pas besoin de cliquer sur le raccourci.

Selon les éléments fournis par Akamai et confirmés par Microsoft Threat Intelligence, APT28 a utilisé cette technique au moins depuis janvier 2026 dans des campagnes ciblant des entités gouvernementales et militaires de pays membres de l'OTAN, notamment en Europe de l'Est. Le mode opératoire combine généralement un courriel de phishing transportant un fichier ZIP, qui contient le LNK piégé. Lorsque la victime extrait le ZIP, l'Explorateur Windows lit automatiquement le LNK pour afficher son icône — et envoie le hash NTLMv2.

Le timing du correctif Microsoft pose question. Le patch a été publié dans le cadre du Patch Tuesday du 14 avril 2026 sans aucune mention d'exploitation active, alors même que Microsoft était en possession des éléments fournis par Akamai. Ce n'est que deux semaines plus tard, après publication des recherches d'Akamai, que l'editeur a mis à jour son advisory. Cette pratique — minimiser publiquement la criticité d'une faille pour éviter d'attirer l'attention des autres acteurs malveillants — est de plus en plus contestée par la communauté sécurité, qui y voit un obstacle à la priorisation correcte des correctifs côté défenseurs.

Côté indicateurs de compromission, plusieurs serveurs SMB utilisés dans les campagnes APT28 ont été identifiés et bloqués au niveau des firewalls périmétriques par les CSIRT européens, dont le CERT-FR qui a relayé l'information dans son bulletin d'actualité du 4 mai 2026. La détection en interne repose sur la surveillance des connexions SMB sortantes depuis des postes utilisateurs vers des IP non listées dans le périmètre de l'organisation — une signature comportementale que les EDR modernes peuvent capturer si la règle est correctement configurée.

Au-delà du cas APT28, la disponibilité publique de la chaîne technique (les recherches d'Akamai détaillent suffisamment le fonctionnement) signifie que d'autres acteurs vont probablement intégrer CVE-2026-32202 à leur arsenal dans les semaines qui viennent, notamment les opérateurs de ransomware qui apprécient les faiblesses NTLM pour leurs phases de mouvement latéral. La fenêtre entre publication du correctif et exploitation à grande échelle se réduit traditionnellement à moins de 14 jours pour ce type de faille.

Microsoft recommande explicitement, en plus du déploiement du patch, de désactiver NTLMv1, d'activer SMB Signing sur l'ensemble du domaine, et d'imposer Extended Protection for Authentication (EPA) sur les services exposés. Ces mesures de durcissement, bien qu'indépendantes du correctif, réduisent significativement l'impact en cas de capture de hash dans le futur.

Impact et exposition

L'exposition concerne tout poste Windows non patché à partir du 14 avril 2026. Les contextes les plus à risque sont les environnements où les utilisateurs reçoivent des fichiers ZIP ou compressés depuis l'extérieur (départements RH, achats, support client) et où NTLM reste activé sans contrôles compensatoires. Les architectures Active Directory traditionnelles sont particulièrement vulnérables au pivot post-coercition, le hash NTLMv2 capturé ouvrant la porte aux attaques relay vers les contrôleurs de domaine et serveurs de fichiers.

Recommandations

• Déployer immédiatement les mises à jour Windows d'avril 2026 sur l'ensemble du parc (postes et serveurs), sans attendre le cycle mensuel suivant.
• Bloquer en sortie le port SMB (445/TCP) et NetBIOS (137-139/TCP) au niveau du firewall périmétrique vers Internet — il n'existe aucune raison opérationnelle légitime de laisser sortir du SMB en clair.
• Activer SMB Signing obligatoire sur tous les contrôleurs de domaine et serveurs de fichiers via GPO.
• Désactiver NTLMv1 partout où c'est encore actif, et auditer les flux NTLM résiduels via les journaux 4624/4625 sur les DC.
• Configurer une règle EDR ou SIEM détectant les connexions SMB sortantes depuis des postes utilisateurs vers des IP publiques non listées.
• Sensibiliser les équipes susceptibles de manipuler des archives externes : le simple fait d'extraire un ZIP suffit à déclencher l'exploitation, sans clic supplémentaire.