En bref

  • Le groupe russe APT28 a exploité la faille CVE-2026-21513 (CVSS 8.8) dans MSHTML avant sa correction en février 2026
  • Windows toutes versions avec MSHTML/ieframe.dll — contournement Mark-of-the-Web et sandbox IE
  • Appliquer immédiatement le patch cumulatif de février 2026 et bloquer les fichiers LNK en pièce jointe

Les faits

Microsoft a corrigé en février 2026 une vulnérabilité critique dans le composant MSHTML de Windows, référencée CVE-2026-21513 avec un score CVSS de 8.8. Selon les analyses publiées par Akamai le 26 mars 2026, un artefact malveillant lié à l infrastructure d APT28 (aussi connu sous le nom de Fancy Bear ou Sednit) avait été uploadé sur VirusTotal dès le 30 janvier 2026, soit plusieurs jours avant la publication du correctif. Le groupe étatique russe exploitait donc activement cette faille en tant que 0-day.

La vulnérabilité réside dans la bibliothèque ieframe.dll, plus précisément dans la logique de navigation des hyperliens. Une validation insuffisante de l URL cible permet à un contenu contrôlé par l attaquant d atteindre des chemins de code invoquant ShellExecuteExW, ce qui permet l exécution de ressources locales ou distantes en dehors du contexte de sécurité du navigateur. L exploitation repose sur des fichiers raccourcis Windows (LNK) spécialement conçus qui embarquent du contenu HTML directement après la structure LNK standard, utilisant des iframes imbriquées pour manipuler les limites de confiance et contourner le Mark-of-the-Web (MotW) ainsi que la configuration de sécurité renforcée d Internet Explorer, selon l analyse technique d Akamai.

Impact et exposition

Toutes les versions de Windows disposant du composant MSHTML sont potentiellement vulnérables. L exploitation ne nécessite qu une interaction utilisateur minimale : l ouverture d un fichier LNK piégé reçu par email ou téléchargé. Le contournement du Mark-of-the-Web signifie que les protections habituelles de Windows SmartScreen et des zones de sécurité sont inefficaces. Les cibles privilégiées d APT28 restent les institutions gouvernementales, les organisations de défense et les infrastructures critiques européennes, conformément au profil opérationnel historique du groupe.

Recommandations

  • Appliquer en priorité absolue la mise à jour cumulative de février 2026 corrigeant CVE-2026-21513
  • Bloquer les fichiers LNK en pièce jointe email au niveau de la passerelle de messagerie et du proxy web
  • Rechercher les indicateurs de compromission publiés par Akamai dans vos logs réseau et EDR, notamment les connexions vers l infrastructure C2 identifiée

Alerte critique

Cette vulnérabilité a été exploitée comme 0-day par un acteur étatique avant la disponibilité du correctif. Si votre parc Windows n est pas à jour avec les patchs de février 2026, considérez vos systèmes comme potentiellement compromis et lancez une investigation.

Mon organisation utilise Edge Chromium et non Internet Explorer, suis-je quand même exposé ?

Oui. Le composant MSHTML (ieframe.dll) reste présent dans Windows même si Internet Explorer n est plus le navigateur par défaut. La vulnérabilité est exploitable via des fichiers LNK qui invoquent directement ce composant, indépendamment du navigateur utilisé. Seul le patch Microsoft corrige le problème.

Comment détecter une tentative d exploitation de CVE-2026-21513 ?

Surveillez la création de processus ShellExecuteExW initiés par des composants MSHTML, les fichiers LNK anormalement volumineux (contenant du HTML embarqué), et les connexions réseau depuis mshta.exe ou iexplore.exe vers des domaines non légitimes. Les règles YARA et les IoC publiés par Akamai dans leur analyse technique sont directement exploitables par les équipes SOC.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.

Demander un audit