CVE-2026-32202 : zero-click NTLM Windows exploité par APT28

Les faits

CVE-2026-32202 est une vulnérabilité critique dans Windows Shell, divulguée par Microsoft le 14 avril 2026 dans le cadre du Patch Tuesday d'avril, puis reclassée le 27 avril 2026 comme étant activement exploitée in-the-wild. Le 28 avril, CISA a ajouté la CVE à son catalogue Known Exploited Vulnerabilities (KEV), avec une échéance de remédiation pour les agences fédérales américaines au 19 mai 2026. La vulnérabilité permet à un attaquant non authentifié de provoquer la fuite du hash NTLMv2 d'un utilisateur Windows sans aucune interaction de la victime — un classique de la coercition d'authentification, mais en mode totalement passif.

L'histoire de la faille remonte à janvier 2026, lorsque le groupe APT28 (Fancy Bear, lié au renseignement militaire russe GRU) a été observé exploitant CVE-2026-21510, une vulnérabilité du gestionnaire de raccourcis Windows permettant d'exécuter du code à distance via un fichier .LNK piégé combiné à un bypass SmartScreen. Microsoft a corrigé CVE-2026-21510 dans le Patch Tuesday de février 2026. Or, comme l'ont mis en évidence les chercheurs d'Akamai et de SecurityWeek, le patch était incomplet : il a bloqué le chemin d'exécution de code, mais a laissé intacte la chaîne de coercition d'authentification NTLM sous-jacente. C'est cette chaîne qui est désormais traquée sous l'identifiant CVE-2026-32202.

Le mécanisme d'exploitation est élégant et redoutablement efficace. Un fichier .LNK (raccourci Windows) contient une cible UNC pointant vers un partage SMB contrôlé par l'attaquant — par exemple \\attacker.com\share\payload.cpl. Lorsque l'utilisateur ouvre simplement le dossier contenant ce fichier dans l'Explorateur Windows, l'Explorateur tente de résoudre la cible pour récupérer l'icône et les métadonnées du raccourci. Cette résolution déclenche une connexion SMB sortante vers le serveur de l'attaquant, et avec elle une négociation d'authentification NTLM automatique. Le client Windows envoie au serveur malveillant un challenge-response contenant le hash NTLMv2 de l'utilisateur connecté.

Le caractère « zero-click » est fondamental : la victime n'a pas besoin de cliquer sur le raccourci, ni de l'exécuter. Il suffit qu'elle visualise le dossier qui le contient. Et puisque les navigateurs téléchargent fréquemment des fichiers vers %USERPROFILE%\Downloads, qui est par défaut affiché dans l'Explorateur Windows en mode aperçu, une simple visite d'un site web malveillant déposant un fichier .LNK suffit à compromettre le hash dès que l'utilisateur ouvre son dossier Téléchargements. Les vecteurs alternatifs incluent les pièces jointes mail (extraites dans un dossier), les partages réseau accessibles à l'attaquant, et les ZIP/ISO contenant des .LNK.

Le hash NTLMv2 récupéré ouvre deux voies d'exploitation. La première est le relais NTLM (NTLM relay) : l'attaquant relaie en temps réel l'authentification capturée vers un autre service Windows acceptant NTLM (LDAP sans signature, SMB sans signature, AD CS, MSSQL, etc.) pour s'authentifier en tant que la victime sur ce service. Combiné à AD CS ESC8 (« PetitPotam »-style), le relais NTLM peut conduire à une compromission complète du domaine Active Directory en quelques minutes. La seconde voie est le cassage offline : selon la complexité du mot de passe, un hash NTLMv2 peut être cassé en quelques heures à quelques jours sur un GPU moderne, restituant le mot de passe en clair de l'utilisateur.

APT28 a été observé déposant des fichiers .LNK piégés via des campagnes de phishing très ciblées contre des organisations gouvernementales et industrielles européennes et nord-américaines. Selon les rapports d'Akamai, l'infrastructure SMB de coercition utilise des domaines récemment enregistrés et des serveurs Impacket modifiés pour capturer les hashes à grande échelle. Plusieurs analystes craignent une bascule rapide vers une utilisation criminelle : la simplicité de la chaîne d'exploitation et la disponibilité de PoC similaires (PetitPotam, PrinterBug, DFSCoerce) la rendent triviale à intégrer dans des kits d'initial access.

Sur le plan technique, la cause racine est que le parser de fichiers .LNK de Windows Shell — implémenté dans shell32.dll et windows.storage.dll — résout les cibles UNC sans valider la confiance du chemin distant ni demander de confirmation utilisateur. Le patch d'avril 2026 corrigeait l'exécution de code post-coercition mais laissait la coercition elle-même intacte. Le correctif de CVE-2026-32202 introduit une vérification supplémentaire bloquant la résolution automatique des cibles UNC distantes lors du rendu d'icône, sauf pour les chemins déjà autorisés par l'utilisateur.

The Register et Help Net Security rapportent que Microsoft avait initialement publié l'advisory de CVE-2026-32202 sans drapeau d'exploitation, créant un défaut de signal pour les équipes de patch management. Ce n'est que le 27 avril que l'Exploitability Index a été mis à jour pour refléter une exploitation active, déclenchant l'ajout au KEV le lendemain et l'émission d'alertes par CISA, CERT-FR et plusieurs CSIRTs européens.

Impact et exposition

Toutes les versions supportées de Windows sont vulnérables : Windows 10 (toutes éditions), Windows 11, Windows Server 2016 à 2025. Le vecteur d'attaque est réseau et ne nécessite ni privilèges, ni interaction. La simple navigation dans un dossier contenant un fichier .LNK piégé suffit à fuiter le hash NTLMv2 de l'utilisateur connecté.

Les organisations les plus exposées sont celles qui utilisent encore l'authentification NTLM en interne — c'est-à-dire la quasi-totalité des environnements Active Directory n'ayant pas explicitement durci leur configuration. Le risque est maximal en cas de coexistence avec un service vulnérable au relais NTLM (LDAP non signé, AD CS mal configuré, partages SMB sans signature), configuration encore extrêmement répandue.

L'exploitation active est confirmée par Microsoft, CISA et plusieurs équipes de threat intel. APT28 est l'acteur principal identifié, mais la simplicité de la chaîne signale une diffusion imminente vers des opérateurs financièrement motivés (ransomware) et des courtiers d'accès initial. Les indicateurs de compromission publiés incluent des hashes de fichiers .LNK spécifiques et des domaines SMB utilisés comme collecteurs de hashes.

L'impact en cas d'exploitation va du vol d'identité utilisateur jusqu'à la compromission complète du domaine Active Directory via relais NTLM. Sur les postes administrateurs et les serveurs de fichiers, la fuite peut directement exposer le hash d'un compte privilégié, raccourcissant drastiquement le chemin vers le Domain Admin.

Recommandations immédiates

• Appliquer immédiatement la mise à jour Windows fournie dans le Microsoft Security Update Guide pour CVE-2026-32202 (avril 2026, complétée en mai 2026 si applicable).
• Bloquer en bordure de réseau (firewall/proxy) tout trafic SMB sortant (ports TCP 139 et 445) vers Internet — il n'existe quasiment aucun cas légitime de connexion SMB d'un poste utilisateur vers un serveur Internet.
• Désactiver complètement NTLM dans Active Directory lorsque c'est possible via la GPO « Network security: Restrict NTLM », ou au minimum activer l'audit pour identifier les flux NTLM restants.
• Forcer la signature SMB et LDAP côté serveur, et activer Extended Protection for Authentication (EPA) sur tous les services acceptant NTLM (LDAP, AD CS Web Enrollment, IIS, Exchange).
• Désactiver l'affichage automatique des icônes pour les .LNK distants via la stratégie « Turn off shortcut tracking » dans GPO User Configuration, Administrative Templates, Start Menu and Taskbar.
• Indicateurs de compromission à rechercher : connexions SMB sortantes vers des IPs publiques inhabituelles dans les logs proxy/firewall ; événements 4624/4625 avec authentification NTLM vers des sources externes ; fichiers .LNK déposés dans %USERPROFILE%\Downloads avec cibles UNC.
• Pour les utilisateurs à haut risque (administrateurs, dirigeants) : ajouter les comptes au groupe « Protected Users » dans Active Directory, qui interdit l'utilisation de NTLM.