Microsoft a résolu dans le patch février 2026 une vulnérabilité grave dans le moteur MSHTML qui était déjà utilisé dans des environnements réels, et les signes indiquent la participation possible de l'APT28, le groupe russe parrainé par l'État connu pour des opérations sophistiquées contre des objectifs politiques et militaires. Le problème, identifié comme CVE-2026-21513(CVSS 8.8), n'est pas une simple défaillance locale : elle permet aux contenus malveillants de s'échapper du contexte du navigateur sécurisé et est exécutée par le système d'exploitation.
Dans son avis, Microsoft a décrit la vulnérabilité comme un échec dans les protections du cadre MSHTML qui pourrait être exploité par la manipulation de navigation par hyperlien. Le fabricant a en outre confirmé que l'échec avait été exploité comme une journée zéro dans des attaques réelles et a remercié plusieurs équipes de renseignement et d'intervention, dont MSTIC et GTIG. Le guide de correction est disponible sur la page officielle de Microsoft: msrc.microsoft.com / mise à jour-guide / vulnérabilité / CVE-2026-21513.
Les analyses techniques publiées par les sociétés de sécurité montrent comment l'erreur se situe dans le module en charge du traitement de la navigation des liens (ieframe.dll). En raison d'une validation insuffisante de l'URL cible, les entrées contrôlées par l'attaquant peuvent atteindre les routes de code qui invoquent l'API du système en charge de lancer des ressources en dehors du navigateur, en particulier ShellExecuteExW. Cette invocation vous permet d'exécuter des ressources locales ou distantes avec des privilèges de contexte utilisateur, annulant ainsi les barrières que le bac à sable du navigateur impose normalement.
La tactique observée dans la campagne qui concernait APT28 était ingénieuse et relativement simple en même temps : les attaquants ont préparé un accès direct à Windows manipulé (.LNK) qui inclut un fichier HTML immédiatement après la structure standard du LNK. En ouvrant cet accès direct, le comportement de gestion du navigateur Windows et de Shell est forcé de traiter le contenu intégré, et à travers les ifraramas imbriqués et l'exploitation de plusieurs contextes DOM, il est possible d'obtenir des zones de confiance mélangées avec le contenu contrôlé par l'attaquant. Le résultat est un saut contextuel qui vous permet d'exécuter le code hors du navigateur.
Akamai, qui a publié une analyse complète de la technique, a également identifié un appareil malveillant téléchargé sur VirusTotal le 30 janvier 2026 lié à l'infrastructure attribuée à APT28. Ce modèle s'inscrit dans les campagnes précédentes de l'acteur et avec les domaines utilisés à de multiples stades d'infection; par exemple, l'utilisation du domaine de bien-être caremed [.] com a été signalée dans cette opération. Le rapport Akamai fournit des détails techniques et peut être lu ici: Akamai - À l'intérieur de la solution: CVE-2026-21513, et l'artefact identifié apparaît dans VirusTotal dans ce lien: Total (échantillon).
Au-delà de la curiosité technique, il y a deux raisons pour lesquelles cet échec a alarmé les équipes de sécurité : premièrement, la possibilité de contourner les marques de sécurité telles que le Mark-of-the-Web (MotW) et les paramètres de sécurité améliorés d'Internet Explorer (IE ESC), qui dégradent le contexte de confiance que Windows applique aux fichiers téléchargés ou ouverts du réseau; deuxièmement, la vulnérabilité peut être activée à partir de n'importe quel composant qui intègre MSHTML, non seulement à partir de ces accès directs LNK, de sorte que les vecteurs de livraison sont variés et pourraient inclure des pages Web MSHML intégrées ou utilisées. Pour comprendre pourquoi le MotW est important dans ces scénarios, une bonne ressource explicative est cet article sur le sujet: Red Canary - Brouillage Mark-of-the-Web, et les informations sur la configuration améliorée d'Internet Explorer se trouvent dans la documentation de Microsoft: IE ESC - Microsoft Docs.
Si nous traduisons cela en recommandations concrètes, la première et la plus urgente est d'installer les correctifs officiels: pour parquer les systèmes Windows touchés par la mise à jour de février 2026 élimine la fenêtre d'exploitation connue et est l'étape la plus efficace pour atténuer le risque. Microsoft a publié la correction et ses détails techniques dans son centre de réponse à la vulnérabilité, de sorte que les équipes informatiques devraient prioriser cette mise à jour: Guide de Microsoft pour CVE-2026-21513.
Parallèlement, les défenses opérationnelles et de détection devraient être ajustées. Il convient de limiter l'ouverture automatique de l'accès direct (.LNK) et de traiter avec prudence les fichiers HTML reçus par courrier ou téléchargés, de resserrer les règles de filtrage du courrier et du téléchargement, et de surveiller les connexions aux domaines suspects qui sont apparus dans la campagne. Pour les équipes d'intervention, examiner la télémétrie liée aux appels à ShellExecuteExW, les processus qui lancent des navigateurs à partir de contextes inhabituels et les charges utiles enchaînées peuvent être utiles pour détecter les engagements. Il est également conseillé de vérifier les solutions EDR/AV pour la détection d'échantillons similaires et de valider l'existence d'indicateurs d'engagement présents dans les rapports publics.
Enfin, il faut se rappeler que l'APT28 n'est pas un nouvel acteur et que son modus operandi a souvent inclus des campagnes de phising de vitesse et l'exploitation d'échecs dans des produits largement déployés. Afin de contextualiser qui est ce groupe et pourquoi sa participation augmente le risque, l'onglet des acteurs se trouve à la base MITRE ATT & CK: MITRE ATT & CK - APT28. La collaboration entre les équipes d'intervention et les sociétés de renseignement a été essentielle pour identifier et corriger l'échec avant son élargissement, mais l'existence d'échantillons et de domaines liés indique clairement que la menace était active et que la gestion des patchs et les bonnes pratiques d'hygiène numérique demeurent la défense la plus fiable.
Si vous gérez des systèmes Windows, prioriser la mise à jour, éduquer les utilisateurs à ne pas ouvrir de liens ou de fichiers suspects, et coordonner avec votre équipe de sécurité la recherche de signaux qui pourraient avoir essayé d'exploiter cette vulnérabilité dans votre environnement.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...