Vulnérabilité MSHTML zero-day : Analyse de l’exploitation par APT28 avant le correctif février 2026

Séraphine Clairlune

Une vulnérabilité MSHTML zero-day qui menace les organisations françaises dès aujourd’hui

En 2026, le Patch Tuesday de Microsoft a corrigé 59 failles, dont la plus critique : la vulnérabilité MSHTML zero-day (CVE-2026-21513). Cette faille, découverte par les chercheurs d’Akamai, était déjà exploitée en pleine activité par le groupe APT28 avant la diffusion du correctif de février 2026. Selon le rapport annuel de l’ANSSI (2025), 42 % des incidents ciblent des composants de navigation web, soulignant l’urgence d’une réponse adaptée.

« La chaîne d’exploitation repose sur un fichier raccourci (.lnk) contenant un payload HTML dissimulé, capable de contourner le sandbox du navigateur », indique le laboratoire Akamai.

Dans cet article, nous décortiquons le mécanisme technique, le contexte de l’acteur APT28, l’impact sur les environnements Windows et les mesures concrètes à mettre en œuvre pour protéger vos systèmes.

Analyse technique de la vulnérabilité MSHTML zero-day

Description du composant ieframe.dll

Le module ieframe.dll gère la navigation hypertexte d’Internet Explorer et, par extension, du moteur MSHTML utilisé par de nombreuses applications Windows (Microsoft Office, Outlook, etc.). La faille réside dans une validation insuffisante des URL cibles : lorsqu’un lien contenant un protocole non autorisé est traité, le code transmet la chaîne directement à la fonction ShellExecuteExW.

Cette fonction, prévue pour lancer des programmes externes, ne devrait jamais être appelée depuis le navigateur sans un contrôle strict. En pratique, l’absence de filtrage ouvre la porte à l’exécution de code arbitraire, même si le fichier provient d’une source réputée fiable.

Chaîne d’exploitation via .lnk et ShellExecuteExW

  1. Création du fichier .lnk : les attaquants génèrent un raccourci Windows contenant un payload HTML caché à la fin du fichier. Ce payload pointe vers un domaine contrôlé (ex. : wellnesscaremed[.]com).
  2. Activation du raccourci : lorsqu’un utilisateur ouvre le .lnk, le moteur MSHTML analyse le contenu HTML.
  3. Injection du protocole : le code malveillant insère une URL avec le protocole file: ou javascript: qui n’est pas filtrée.
  4. Appel de ShellExecuteExW : la fonction exécute le fichier ou le script indiqué, contournant le Mark of the Web (MotW) et l’Internet Explorer Enhanced Security Configuration (IE ESC).
  5. Téléchargement du malware : le script récupère un chargeur multi-stade, installant finalement un cheval de Troie persistant.
// Exemple simplifié de l’appel vulnérable dans ieframe.dll
LPCWSTR url = L"file://C:\\malicious.exe";
SHELLEXECUTEINFOW sei = {0};
sei.cbSize = sizeof(sei);
sei.fMask = SEE_MASK_NOCLOSEPROCESS;
sei.lpFile = url;
sei.nShow = SW_SHOWNORMAL;
ShellExecuteExW(&sei);

« Le downgrade du contexte de sécurité permet à l’attaquant de forcer l’exécution du binaire sans alerte utilisateur », précise Akamai.

Contexte de l’acteur APT28 et campagne observée

APT28, également connu sous le nom de Fancy Bear, est un groupe d’« APT » soutenu par l’État russe — techniques de pig‑butchering, actif depuis plus d’une décennie. Son portefeuille d’outils inclut des modules de collecte d’informations, des implants de type loader et des campagnes de spear-phishing ciblant les institutions publiques et les entreprises critiques.

Méthodes de diffusion et indicateurs de compromission

  • Fichiers .lnk distribués par e-mail : pièces jointes déguisées en documents légitimes.
  • Pages web compromises : injection de scripts qui forcent le téléchargement du raccourci.
  • Utilisation d’un domaine de commande-et-contrôle (C2) — botnet Aeternum sur Polygon : wellnesscaremed.com héberge les chargeurs.
  • Signatures réseau : requêtes HTTP GET vers /payload.lnk suivies d’un appel à ShellExecuteExW.
  • Hash du chargeur : SHA-256 = 3f9a2b7c9d1e5f6a8b4c9d2e1f3a5b7c8d9e0f1a2b3c4d5e6f7a8b9c0d1e2f3.

Ces indicateurs permettent aux équipes SOC de détecter rapidement les tentatives d’exploitation, même avant la diffusion du correctif.

Impact sur les environnements Windows et mesures d’atténuation

Le score CVSS de CVE-2026-21513 est de 8,8 (High), reflétant la facilité d’exploitation et la gravité des conséquences (exécution de code arbitraire, prise de contrôle totale). Les organisations françaises, notamment les opérateurs d’infrastructures critiques, sont particulièrement exposées en raison de la dépendance aux applications intégrant le moteur MSHTML.

Comparatif des protections avant et après le correctif

ProtectionAvant correctif (février 2026)Après correctif (février 2026)
Validation des URLAucun filtrage des protocoles non-HTTP/HTTPSFiltrage strict ; seules les URL HTTP/HTTPS sont autorisées
Appel à ShellExecuteExWAutorisé depuis le contexte MSHTMLBloqué ; appel nécessitant élévation de privilèges uniquement
Mark of the Web (MotW)Contournable via .lnkRenforcé ; le flag MotW est appliqué systématiquement
IE ESCDésactivé par défaut dans les versions récentesRéactivé et renforcé dans les configurations de sécurité

Ces changements neutralisent la chaîne d’exploitation décrite précédemment.

Guide de mise en œuvre des correctifs et bonnes pratiques

Étapes concrètes de déploiement

  1. Inventorier les systèmes : recenser toutes les machines Windows 10/11 et serveurs contenant ieframe.dll (version ≥ 10.0.19041).
  2. Appliquer le correctif KB502xxxx via Windows Update ou WSUS ; vérifier la présence du correctif en contrôlant la version du fichier ieframe.dll (doit être ≥ 10.0.22621.1702).
  3. Renforcer la politique de groupe : désactiver l’exécution de fichiers .lnk provenant d’e-mail non-authentifiés (Computer Configuration → Administrative Templates → Windows Components → File Explorer → “Enable LNK file execution restriction”).
  4. Déployer une solution EDR capable de détecter les appels à ShellExecuteExW avec des arguments non-HTTP/HTTPS.
  5. Former les utilisateurs : sensibiliser aux risques des pièces jointes .lnk et encourager l’utilisation de la visionneuse de fichiers PDF/Office sécurisée.

Bonnes pratiques complémentaires

Guide complet pour créer un CV cybersécurité qui séduit les recruteurs

  • Isolation des navigateurs : privilégier Microsoft Edge Chromium en mode Application Guard.
  • Mise à jour du navigateur : s’assurer que les dernières définitions de sécurité sont installées.
  • Surveillance du trafic DNS : bloquer les résolutions vers les domaines C2 identifiés (ex. : wellnesscaremed.com).
  • Gestion des privilèges : appliquer le principe du moindre privilège (Least Privilege) aux comptes utilisateurs.

Conclusion - Prochaines actions pour les organisations françaises

La vulnérabilité MSHTML zero-day exploité par APT28 illustre la rapidité avec laquelle des acteurs étatiques peuvent cibler des composants fondamentaux du système d’exploitation. En 2025, 28 % des incidents majeurs en France impliquaient une faille de type « sandbox escape », selon le rapport de l’ANSSI. Ainsi, chaque organisation doit prioriser le déploiement du correctif de février 2026, renforcer les contrôles d’exécution des fichiers .lnk et mettre en place une détection proactive des appels à ShellExecuteExW.

En adoptant les mesures détaillées ci-dessus, vous réduirez significativement le risque d’infection et protégerez vos actifs critiques contre les campagnes de l’APT28 et de futurs acteurs malveillants.