CVE-2026-32202 : Windows Shell zero-click APT28 exploité

Les faits

Le 27 avril 2026, Microsoft a révisé son advisory officiel du Patch Tuesday d'avril pour reconnaître publiquement que CVE-2026-32202, une vulnérabilité de spoofing affectant le Shell Windows (CVSS 4.3), fait l'objet d'une exploitation active dans la nature depuis plusieurs jours. La CISA américaine et Help Net Security ont confirmé l'information le 29 avril 2026, classant la faille parmi les menaces prioritaires pour les administrations fédérales soumises à la directive BOD 22-01 sur les vulnérabilités exploitées. Selon les chercheurs Akamai cités par The Hacker News et SecurityWeek, CVE-2026-32202 dérive d'un correctif incomplet appliqué en février 2026 pour CVE-2026-21510, vulnérabilité déjà exploitée par le groupe APT28 (alias Fancy Bear, lié au renseignement militaire russe GRU) en chaîne avec CVE-2026-21513. La nouvelle faille rétablit ainsi le canal de vol de credentials NTLM précédemment exploité par cet acteur étatique.

Techniquement, la faille permet à un attaquant non authentifié de provoquer une fuite du hash Net-NTLMv2 d'un utilisateur via un simple fichier LNK piégé. Lorsque l'Explorateur Windows traite le raccourci, il appelle la fonction PathFileExistsW pour résoudre le chemin UNC pointant vers un serveur SMB contrôlé par l'attaquant. Cette résolution déclenche une connexion SMB sortante et un handshake NTLM, exfiltrant le hash sans aucune action explicite de l'utilisateur (zero-click). Le patch de février ajoutait une vérification SmartScreen et Mark-of-the-Web mais celle-ci intervenait après la résolution du chemin UNC, laissant la fenêtre de vol de credentials ouverte.

Impact et exposition

Toutes les éditions Windows 10, Windows 11 et Windows Server jusqu'à Windows Server 2025 sont concernées. Le scénario d'attaque le plus crédible reste le phishing : un fichier LNK joint à un email ou hébergé sur un partage de fichiers compromis suffit à déclencher l'exfiltration. Une simple navigation dans un dossier contenant le LNK piégé via l'Explorateur Windows aboutit au vol du hash NTLMv2, sans double-clic. Cette mécanique est documentée comme similaire à la faille SharePoint exploitée plus tôt dans l'année (voir notre alerte CVE-2026-32201 SharePoint zero-day).

Le hash dérobé peut ensuite être attaqué hors ligne (cracking GPU) ou rejoué via NTLM relay vers des services internes (LDAP, SMB, ADCS, MSSQL). Sur les environnements Active Directory mal durcis sans signature SMB obligatoire ni Extended Protection for Authentication, l'attaquant peut pivoter vers une élévation de privilèges et un mouvement latéral. Les opérations APT28 documentées exploitent ce type de faille pour des intrusions ciblées contre les secteurs gouvernementaux et de défense en Europe. La problématique rejoint celle observée avec CVE-2026-33825 Defender BlueHammer ajoutée au KEV CISA la semaine précédente.

Recommandations immédiates

• Déployer la mise à jour cumulative d'avril 2026 publiée le 14 avril 2026 par Microsoft (advisory MSRC CVE-2026-32202) sur l'ensemble des postes Windows et serveurs.
• Bloquer en bordure et en sortie de domaine les ports SMB 445/TCP et 139/TCP vers Internet, afin d'empêcher l'exfiltration NTLM même si un LNK piégé venait à être ouvert.
• Activer la signature SMB obligatoire et désactiver NTLMv1, conformément aux directives ANSSI et CERT-FR sur le durcissement Active Directory.
• Auditer les partages réseau et boîtes mail pour détecter des fichiers .lnk suspects, et renforcer la sensibilisation utilisateur sur les pièces jointes raccourcis.
• Surveiller les tentatives d'authentification NTLM sortantes via Sysmon (event ID 3) et les alertes EDR de type "outbound SMB" déclenchées depuis explorer.exe.
• Cumuler ce correctif avec celui de CVE-2026-33824 IKE wormable et CVE-2026-32157 Remote Desktop Client pour une posture Windows à jour.