Microsoft confirme l'exploitation active de CVE-2026-32202 dans Windows Shell : LNK auto-parsé déclenche une coercition NTLM zero-click. Patch urgent.
En bref
- Microsoft révise son advisory le 28 avril 2026 : CVE-2026-32202 confirmée comme exploitée en environnement réel
- Coercition d'authentification zero-click via fichiers LNK auto-parsés, vol de hash NTLM
- Patch Tuesday d'avril 2026 corrige la faille, déploiement immédiat recommandé
Les faits
Microsoft a mis à jour ce 28 avril 2026 son advisory pour la CVE-2026-32202, une faille de spoofing dans Windows Shell, en y ajoutant la mention d'une exploitation active observée en conditions réelles. La vulnérabilité avait été initialement publiée le 14 avril dans le Patch Tuesday d'avril, avec un score CVSS de 4.3 jugé modéré et marquée comme non exploitée. La révision change la priorité de déploiement : le patch passe de cycle de maintenance standard à correctif d'urgence pour tous les postes Windows.
La faille est issue d'un correctif incomplet de la CVE-2026-21510, une RCE corrigée en février 2026. Le chercheur d'Akamai Maor Dahan a démontré que le patch initial bloquait l'exécution de code mais laissait persister un mécanisme de coercition d'authentification : un fichier LNK forgé, simplement présent dans un dossier visualisé par l'Explorateur, peut déclencher la résolution automatique d'un chemin UNC pointant vers un serveur SMB contrôlé par l'attaquant. La machine victime envoie alors ses identifiants NTLM sans aucune interaction utilisateur.
Impact et exposition
Le scénario d'exploitation est connu et redoutable : un fichier .lnk déposé dans un partage réseau, une pièce jointe extraite, ou un téléchargement de navigateur suffit. Dès que l'utilisateur ouvre le dossier contenant le fichier, Windows tente automatiquement de récupérer l'icône via le chemin UNC embarqué, ce qui déclenche la connexion SMB et le hachage NTLM. L'attaquant capture ensuite ce hash pour le rejouer (NTLM relay vers un service interne) ou le casser hors-ligne pour récupérer le mot de passe en clair.
Toute organisation laissant sortir le port SMB (445) en sortie WAN ou autorisant des partages SMB depuis des postes utilisateurs est directement exposée. Les environnements Active Directory non durcis, où NTLM reste utilisable et où le SMB Signing n'est pas obligatoire, voient le risque s'étendre au pivot interne. La CVE-2026-32202 est typiquement exploitée dans des chaînes de phishing ciblé et de compromission via partage réseau interne par des groupes APT et des opérateurs ransomware.
Recommandations
- Déployer le KB du Patch Tuesday d'avril 2026 sur l'ensemble du parc Windows 10, 11 et Server
- Bloquer SMB sortant (port 445/TCP) au niveau du pare-feu périmétrique
- Activer SMB Signing obligatoire et désactiver NTLMv1 sur les contrôleurs de domaine
- Restreindre l'authentification NTLM par stratégie de groupe (NTLM auditing puis blocage)
- Auditer les fichiers .lnk présents dans les partages réseau utilisateurs et profils itinérants
- Surveiller les connexions SMB sortantes inhabituelles via les logs réseau et EDR
Alerte critique
Le caractère zero-click de la faille (aucune action utilisateur au-delà de l'ouverture d'un dossier) la rend particulièrement adaptée aux campagnes de phishing massif et aux mouvements latéraux post-intrusion. La confirmation d'exploitation par Microsoft signifie que des acteurs malveillants disposent déjà du PoC et l'utilisent.
Suis-je exposé si je n'ouvre jamais le fichier LNK ?
Oui. La faille s'active à la simple résolution d'icône par l'Explorateur Windows lorsque le dossier est affiché. Aucun double-clic n'est nécessaire, aucun avertissement ne s'affiche. C'est ce qui rend la vulnérabilité particulièrement dangereuse en environnement de partages réseau.
Le blocage SMB sortant suffit-il en attendant le patch ?
C'est une mitigation forte mais incomplète. Bloquer le 445 sortant empêche la fuite de hash vers Internet, mais ne couvre pas les attaques internes (poste compromis dans le LAN qui sert de relais SMB). Le patch reste impératif, et SMB Signing obligatoire est la défense structurelle.
Cette CVE rejoint la liste des coercitions d'authentification Windows exploitées en 2026, dans la lignée de CVE-2026-32157 sur Remote Desktop Client et PhantomRPC qui élève au SYSTEM via RPC. La surface "fichier auto-parsé par l'Explorateur" reste un angle d'attaque récurrent que les correctifs partiels n'éteignent pas durablement.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Totolink A8000RU CVE-2026-7156 : RCE pré-auth, exploit public
CVE-2026-7156 (CVSS 9.8) ouvre une RCE pré-auth sur les routeurs Totolink A8000RU via le CGI cstecgi. Exploit public, aucun patch constructeur.
CVE-2026-40976 : Spring Boot expose Actuator sans auth (9.1)
CVE-2026-40976 expose les endpoints Actuator de Spring Boot 4.0 sans authentification (CVSS 9.1). Patch dans 4.0.6, mise à jour urgente.
Google injecte 40 Md$ dans Anthropic, après les TPU
Google confirme un investissement allant jusqu'à 40 Md$ dans Anthropic, en plus des accords TPU. Alphabet aligne son pari IA sur celui de Microsoft.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire