Microsoft a mis à jour son avertissement cette semaine sur une défaillance de sécurité dans Windows Shell - CVE-2026-32202 - et a confirmé qu'il est déjà exploité dans le monde réel. Bien que le score officiel du CVSS soit modéré, l'importance pratique de cet échec réside dans son rôle au sein d'une chaîne d'exploitation et dans la facilité avec laquelle il peut convertir des fichiers apparemment inoffensifs en vecteurs de vol d'identités sans interaction.
En termes techniques, la vulnérabilité est La vérification de la confiance a échoué lors de la résolution des itinéraires du CNU, qui permet un accès automatique à une ressource distante (par exemple un fichier .cpl chargé par le mécanisme Windows Shell via un accès SMB) pour déclencher une connexion SMB sortante de la machine victime à un serveur contrôlé par l'attaquant. Cette connexion provoque un échange NTLM qui peut filtrer le hachage Net-NTLMv2 de l'utilisateur, puis peut être exploité par des relais ou des attaques hors ligne. En pratique, cette dynamique a réapparu après un patch partiel précédemment appliqué à CVE-2026-21510, et selon les chercheurs, elle relie la campagne au groupe APT28 (Fancy Bear).
Le motif d'abus décrit par découvre combine des fichiers LNK (accès directs) qui activent la résolution de nom dans l'espace de nom de Shell et, à son tour, chargent une DLL / CPL à partir d'une ressource UNC distante. La grande menace n'était pas tant l'exécution de code à distance direct, mais le vol d'identités qui facilite le mouvement latéral et les attaques subséquentes.. Cela explique pourquoi des acteurs ayant des capacités et des objectifs spécifiques, tels que l'APT28, ont intégré ces techniques dans des campagnes ciblées en Ukraine et dans l'Union européenne.
Pour les organisations et les gestionnaires, les implications opérationnelles sont claires : le patching est nécessaire mais pas suffisant. Microsoft a déjà corrigé l'échec dans le patch mensuel le plus récent, de sorte que la première action obligatoire est d'appliquer des mises à jour de sécurité sur tous les terminaux et serveurs touchés. En outre, il convient de valider que les correctifs ont été correctement déployés et d'examiner les indicateurs de vulnérabilité dans leur inventaire des correctifs. Vous pouvez consulter le guide de sécurité de Microsoft pour ce CVE et les mises à jour connexes sur la page officielle de Microsoft Security Response Center: Centre de réponse de sécurité de Microsoft.
Au-delà du patch, il existe des mesures défensives qui réduisent à la fois la probabilité et l'impact de ce type d'abus. Parmi les plus efficaces figurent la restriction du trafic SMB sortant vers Internet (bloc TCP / 445 des postes de travail et des serveurs qui n'ont pas besoin de communiquer à l'extérieur), l'activation et l'exigence de la signature SMB là où elle s'applique, la configuration de politiques de groupe qui empêchent la résolution automatique des routes UNC à partir d'environnements dangereux et la désactivation de services inutiles qui peuvent résoudre des ressources distantes. Il est également recommandé d'utiliser davantage l'authentification forte et multifactorielle pour atténuer la valeur des hachages capturés.
Dans le domaine de la détection, les équipes de sécurité devraient prêter attention aux événements inattendus d'authentification NTLM vers des domaines externes, les tentatives de résolution UNC vers des hôtes hors réseau et l'exécution liée aux charges CPL ou LNK accès direct. Les produits EDR / MDR devraient bloquer ou alerter la charge dynamique des DLLs à partir de sources distantes et les modèles d'activité de relais NTLM typiques. Les fournisseurs et les équipements internes ont commencé à publier des analyses techniques; pour comprendre la recherche originale et son contexte technique, l'analyse de recherche industrielle et le blog peuvent être consultés sur le site Akamai: Akamai Security Blog.
Enfin, cette série d'échecs met en lumière une leçon récurrente : l'atténuation partielle peut laisser des vecteurs résiduels que les acteurs sophistiqués s'enchaînent avec d'autres vulnérabilités. La défense moderne nécessite des correctifs complets, la segmentation du réseau, le resserrement des protocoles d'authentification et la surveillance continue. Vérifiez les commandes de sortie de votre SMB, validez les paramètres de SmartScreen et d'autres protections source, et traitez les hachages NTLM comme des références à risque élevé : supposez que, s'ils sont exposés, ils nécessiteront une rotation et des mesures compensatoires immédiates.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...