CVE-2026-32202 : Microsoft re-patche un zero-click NTLM exploité

Les faits

Le 28 avril 2026, Microsoft a marqué la vulnérabilité CVE-2026-32202 comme « Exploitation Detected » dans son Security Update Guide, déclenchant une réaction immédiate de CISA qui l'a ajoutée le 29 avril à son catalogue Known Exploited Vulnerabilities. La faille concerne le composant Windows en charge du traitement des chemins de fichiers et permet à un attaquant distant non authentifié de récupérer le hash NTLM d'un utilisateur sans aucune action de la victime — pas de clic, pas d'ouverture de pièce jointe, pas même un message lu dans la prévisualisation.

L'origine de l'affaire remonte à mars 2026, quand Microsoft a publié un correctif contre une CVE proche, déjà exploitée selon les rapports de The Register par des opérateurs liés à des groupes APT russes pour cibler des organisations européennes. Les chercheurs qui ont initialement signalé la faille originelle ont rapidement constaté que le patch ne couvrait pas tous les vecteurs : une variante du chemin d'attaque restait pleinement fonctionnelle. Cette variante est exactement CVE-2026-32202, désormais corrigée par Microsoft via le bulletin de sécurité hors-bande publié le 28 avril.

Le mécanisme d'exploitation est conceptuellement simple. Un attaquant envoie à la cible un fichier contenant une référence vers un partage SMB distant qu'il contrôle. Lorsque l'Explorateur Windows, l'indexeur de recherche ou un client de messagerie effectue une opération de listage ou de prévisualisation sur ce fichier — opération que le système considère bénigne — la pile NTLM tente une authentification automatique vers le partage. Le serveur SMB malveillant capture le challenge-response NTLMv2 du compte utilisateur sous lequel tourne le processus. Le hash peut ensuite être cracké hors-ligne via hashcat, ou rejoué en relai NTLM si le réseau cible n'impose pas SMB signing et channel binding.

Selon les éléments publiés par Microsoft Threat Intelligence et relayés par BleepingComputer, les premières exploitations dans la nature visent des organismes diplomatiques et des entreprises de défense en Europe. La méthode de livraison observée combine un email contenant une URL pointant vers un fichier .library-ms ou .lnk hébergé sur un serveur WebDAV, technique déjà documentée pour des campagnes Forest Blizzard / APT28 sur les chaînes NTLM.

Toutes les versions supportées de Windows sont concernées : Windows 10 22H2, Windows 11 23H2 et 24H2, Windows Server 2019, 2022 et 2025. La CVSS attribuée par Microsoft est de 6,5, mais la sévérité opérationnelle est nettement plus élevée car l'exploitation est triviale et silencieuse, et le compte utilisateur dont le hash fuite peut souvent être rejoué vers un service Active Directory pour escalader.

Le patch est disponible via Windows Update sous les références KB5037770 et suivantes selon les branches. CISA, dans son ajout au KEV, fixe une échéance au 12 mai 2026 pour les agences FCEB américaines, soit une fenêtre de moins de deux semaines, ce qui traduit le niveau d'urgence côté gouvernement fédéral.

Côté Europe, le CERT-FR n'a pas encore publié d'avis dédié au moment de la rédaction, mais la vulnérabilité s'inscrit dans la continuité des alertes sur le ciblage NTLM et les campagnes diplomatiques observées depuis fin 2025. Les organisations qui ont déjà déployé Extended Protection for Authentication et désactivé NTLMv1 réduisent significativement la surface d'attaque post-fuite, sans pour autant empêcher la fuite elle-même.

Cette CVE est la deuxième fois en six mois que Microsoft re-patche une vulnérabilité déjà patchée parce que le correctif initial était incomplet. Le précédent cas, en novembre 2025, concernait une bypass du Mark-of-the-Web. Le pattern interroge sur la rigueur des analyses de variantes côté MSRC, surtout quand l'exploitation est déjà active au moment du re-patch.

Impact et exposition

Toute organisation utilisant Windows en environnement Active Directory est exposée si son périmètre laisse passer des contenus pointant vers des partages SMB externes ou si ses postes peuvent initier des connexions sortantes vers des hôtes non maîtrisés sur les ports 445/TCP, 139/TCP, ou 80/443/TCP via WebDAV. Les environnements VDI partagés, les serveurs RDS et les stations administratives connectées à des partages internes étendus présentent le risque le plus élevé d'escalade post-fuite.

Recommandations

• Déployer immédiatement les KB de mai 2026 sur l'ensemble du parc Windows, en priorisant les contrôleurs de domaine, serveurs de fichiers, postes administrateurs et bastions.
• Bloquer en sortie les connexions SMB (445, 139) et WebDAV (80/443 vers serveurs externes non listés) au niveau du firewall périmétrique.
• Activer SMB signing et Extended Protection for Authentication sur tous les services exposés au domaine ; désactiver totalement NTLMv1.
• Mettre en place de la détection sur les requêtes d'authentification NTLM sortantes anormales via Defender for Identity ou un équivalent.