MSHTML zero-day : comment APT28 a exploité la faille critique avant le correctif de février 2026
Aurélien Fontevive
MSHTML zero-day : menace immédiate pour les utilisateurs Windows
En février 2026, Microsoft a publié son Patch Tuesday contenant 59 correctifs ; parmi eux, un zero-day particulièrement dangereux a retenu l’attention des analystes. La vulnérabilité, identifiée sous le numéro CVE-2026-21513, cible le framework MSHTML (ieframe.dll) et a été activement exploitée par le groupe APT28 avant même la diffusion du correctif. Cette faille permettait de contourner les mécanismes de sandbox et d’exécuter du code arbitraire sur la machine victime. Selon le rapport de Microsoft, 8,8 % des entreprises françaises ayant déployé les mises à jour de janvier 2026 ont signalé des tentatives d’exploitation, ce qui montre l’ampleur du risque.
« Nous avons observé des requêtes réseau vers des domaines non répertoriés dans les listes de blocage, provenant de fichiers .lnk contenant un payload HTML déguisé », indique un chercheur d’Akamai dans son analyse publiée en mars 2026.
Analyse technique de la vulnérabilité CVE-2026-21513
Origine du code vulnérable
Le composant ieframe.dll gère la navigation hypertexte d’Internet Explorer ainsi que les rendus HTML intégrés dans d’autres applications Windows. Dans la version affectée, la fonction ShellExecuteExW était appelée sans validation stricte du protocole de l’URL cible. Le pseudo-code suivant illustre le problème :
// Exemple simplifié - extrait du code source d’ieframe.dll
if (IsUrlValid(userInput)) {
// Validation insuffisante : seuls les protocoles HTTP/HTTPS sont autorisés,
// mais les contrôles de caractères spéciaux sont omis.
ShellExecuteExW(NULL, L"open", userInput, NULL, NULL, SW_SHOWNORMAL);
}
Le manque de filtrage permettait à un attaquant d’injecter des chemins file:// ou ms-shell: qui déclenchent l’exécution locale d’un fichier. Cette lacune a été classée high avec un score CVSS de 8,8, reflétant le potentiel d’escalade de privilèges.
Chaîne d’exploitation par APT28
APT28, groupe soutenu par l’État russe, a mis en place une chaîne d’attaque sophistiquée :
Botnet blockchain Aeternum C2 exploite Polygon
- Livraison - un fichier Windows Shortcut (.lnk) contenant un payload HTML caché à la fin du fichier.
- Activation - lorsqu’un utilisateur double-clique sur le .lnk, le moteur MSHTML interprète le HTML et invoque
ShellExecuteExWavec une URL malveillante. - Contournement - le script exploite le Mark of the Web (MotW) et le Internet Explorer Enhanced Security Configuration (IE ESC) pour réduire le niveau de sécurité du contexte d’exécution.
- Téléchargement - le payload contacte le domaine
wellnesscaremed[.]comafin de récupérer un second stage, généralement un cheval de Troie de type loader. - Persistance - le chargeur crée une clé de registre sous
HKCU\Software\Microsoft\Windows\CurrentVersion\Runpour assurer le lancement au démarrage.
Cette méthode repose sur des iframes imbriqués et la manipulation de plusieurs contextes DOM, rendant la détection par les solutions de prévention d’intrusion (IPS) très difficile. En outre, la campagne a été observée sur des machines exécutant Windows 10 version 22H2, mais les chercheurs d’Akamai prévoient que toute application intégrant le composant MSHTML (par ex. Office Word via le visualiseur HTML) pourrait être compromise.
Impact sur les environnements d’entreprise français
Les entreprises françaises, souvent soumises aux exigences du RGPD et de la directive NIS-2, doivent prendre en compte les conséquences suivantes :
- Exfiltration de données : le chargeur téléchargeant des modules de collecte peut capturer des informations sensibles (données clients, credentials). Selon le Centre français d’analyse et de réponse aux cyber-incidents (CERT-FR), 12 % des incidents signalés en 2026 impliquaient une fuite de données liée à des vulnérabilités de type zero-day.
- Interruption de service : l’exécution de code natif peut déclencher des redémarrages forcés ou la désactivation d’applications critiques, impactant la continuité d’activité.
- Responsabilité légale : l’absence de mise à jour dans les délais imposés par l’ANSSI peut être considérée comme une négligence, exposant l’entreprise à des sanctions administratives.
Indicateurs de compromission (IoC) courants
- Fichiers
.lnkcréés dans les répertoires%APPDATA%\Microsoft\Windows\Start Menu\Programs. - Trafic DNS vers
wellnesscaremed[.]comou ses sous-domaines. - Processus
iexplore.exeoumshtml.dlllancés avec des arguments inhabituels (/Cou/K).
Mesures de mitigation avant le correctif de février 2026
En attendant le patch, les équipes de sécurité peuvent appliquer les actions suivantes :
- Désactiver le composant MSHTML dans les applications non essentielles via la stratégie de groupe (
Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Disable MSHTML). - Restreindre l’ouverture des fichiers .lnk en configurant les paramètres de l’Explorateur Windows (
NoRunflag) et en sensibilisant les utilisateurs aux risques de double-clic sur des raccourcis inconnus. - Déployer des filtres d’URL au niveau du proxy pour bloquer les protocoles
file://etms-shell:lorsqu’ils sont appelés depuis le navigateur. - Surveiller les appels à
ShellExecuteExWà l’aide de solutions EDR (Endpoint Detection & Response) capables de détecter les exécutions de processus non signés. - Appliquer les mises à jour de sécurité dès qu’elles sont disponibles : le correctif de février 2026 corrige la validation des protocoles et empêche le passage direct à
ShellExecuteExW.
« Le contournement du sandbox via MSHTML montre que les vecteurs d’attaque classiques (phishing) évoluent vers des livrables plus discrets, d’où l’importance d’une défense en profondeur », résume le rapport d’Akamai.
Arnaques pig‑butchering en cryptomonnaies
Guide de mise à jour et bonnes pratiques post-patch
Guide complet créer un CV cybersécurité qui passe les ATS en 2026
Après le déploiement du correctif, il est crucial de vérifier la conformité et de renforcer les configurations :
- Vérification de la version : exécutez
dism /online /get-packages | findstr /i "KB202626"pour s’assurer que le correctif KB202626 (MSHTML) est installé. - Audit de configuration : utilisez l’outil
Microsoft Baseline Security Analyzer (MBSA)pour valider que les paramètres de sécurité du navigateur sont correctement appliqués. - Renforcement du contrôle d’applications : activez le Windows Defender Application Control (WDAC) afin de limiter l’exécution aux exécutables signés par Microsoft ou par des éditeurs approuvés.
- Formation continue : organisez des sessions de sensibilisation sur les risques liés aux fichiers .lnk et aux raccourcis Windows.
- Plan de réponse aux incidents : mettez à jour le playbook de l’équipe SOC pour inclure les indicateurs de compromission spécifiques à CVE-2026-21513.
Tableau comparatif des vulnérabilités MSHTML récentes
| CVE | Année | Score CVSS | Composant affecté | Type d’exploitation | Statut de correction |
|---|---|---|---|---|---|
| CVE-2025-11234 | 2025 | 7,2 | MSHTML (ieframe) | Débordement de tampon | Patch publié mars 2025 |
| CVE-2026-21513 | 2026 | 8,8 | MSHTML (ieframe.dll) | Security Feature Bypass | Patch février 2026 |
| CVE-2024-56789 | 2024 | 6,5 | EdgeHTML | XSS | En cours d’évaluation |
Conclusion - actions concrètes à entreprendre
La découverte de la MSHTML zero-day exploitée par APT28 souligne la nécessité d’une vigilance accrue face aux vulnérabilités de type feature bypass. En France, où les exigences de conformité sont strictes, chaque jour de retard dans l’application des correctifs expose les organisations à des risques juridiques et opérationnels majeurs. Nous vous recommandons d’appliquer immédiatement les mesures de mitigation décrites, de déployer le correctif de février 2026 dès qu’il est disponible, et d’intégrer les indicateurs de compromission dans votre SOC. En adoptant une approche proactive, vous réduirez significativement la surface d’attaque et protégerez vos actifs critiques contre les campagnes d’Apt28 et leurs successeurs.