Comment la vulnérabilité MSHTML zero-day (CVE-2026-21513) a été exploitée par APT28 avant la mise à jour de février 2026

Théophane Villedieu

En 2026, plus de 60 % des incidents de cybersécurité en France provenaient de failles liées aux navigateurs, selon le rapport annuel de l’ANSSI. Parmi elles, la découverte d’une vulnérabilité critique dans le composant MSHTML a déclenché une onde de choc : le groupe APT28 a exploité ce zero-day plusieurs semaines avant que Microsoft ne publie son correctif de février.

Analyse de la vulnérabilité MSHTML zero-day (CVE-2026-21513)

Origine du défaut dans le composant ieframe.dll

Le composant ieframe.dll, responsable de la navigation hypertexte dans Internet Explorer, contenait une validation insuffisante des URL cibles. Le code suivant illustre le point d’entrée :

if (IsUrlAllowed(userInput)) {
    ShellExecuteExW(&execInfo);
}

ShellExecuteExW était invoqué sans filtrer correctement les schémas de protocole, permettant ainsi à un attaquant de forcer l’exécution d’un fichier local ou distant. Cette faiblesse a été cataloguée avec un CVSS Score de 8,8 (High).

Mécanisme d’exploitation en pratique

APT28 a utilisé un fichier raccourci Windows (.lnk) contenant un payload HTML masqué. Lorsqu’un utilisateur ouvrait le raccourci, le navigateur chargeait le fragment HTML, qui injectait des iframes imbriquées et manipulait le Document Object Model (DOM) pour contourner le Mark of the Web et l’Internet Explorer Enhanced Security Configuration.

« The exploit leverages nested iframes and multiple DOM contexts to downgrade the security context, forcing a call to ShellExecuteExW », - Security researchers, Akamai.

Profil de l’acteur APT28 et sa chaîne d’attaque

APT28, groupe parrainé par l’État russe, est réputé pour ses campagnes de phishing ciblées (Pig‑butchering scams) et ses outils de post-exploitation sophistiqués. En janvier 2026, les chercheurs ont identifié une infrastructure de commande et de contrôle (C2) hébergée sur le domaine wellnesscaremed.com, utilisé exclusivement pour délivrer le chargeur multistade.

Infrastructure de commandement (C2) (Blockchain C2 infrastructure threats in 2026)

  • Serveurs : 3 serveurs compromis en Europe de l’Est, redirigés via des reverse proxies anonymes.
  • Protocoles : HTTP(S) avec chiffrement TLS 1.3, mais sans authentification mutuelle.
  • Payloads : exécutables PE polymorphes, capables d’injecter des modules de persistance dans explorer.exe.

Méthodes de livraison au-delà du .lnk

Les analystes ont mis en garde que tout logiciel incorporant le composant MSHTML pouvait déclencher la chaîne d’exploitation, ouvrant la porte à des vecteurs tels que :

  1. Documents Office contenant des contrôles actifs.
  2. Applications tierces affichant du contenu web intégré.
  3. Scripts PowerShell téléchargeant des fichiers .lnk depuis des serveurs compromis.

« Any application embedding the MSHTML component could potentially trigger the vulnerable code path », - rapport interne d’Akamai.

Impacts pour les organisations françaises

Les entreprises françaises sont particulièrement exposées en raison de l’usage répandu d’applications internes basées sur des contrôles web legacy. Les conséquences observées incluent :

  • Exécution de code arbitraire sur les postes utilisateurs, menant à la compromission de comptes à privilèges.
  • Escalade latérale via le vol de tickets Kerberos (Pass-the-Ticket).
  • Perte de données sensibles, notamment des dossiers clients stockés sur des partages réseau.

Selon le Baromètre de la cybersécurité 2025 de l’AFCDP, 38 % des incidents de compromission de postes ont impliqué une faille de type sandbox bypass.

Mesures de mitigation avant le correctif

En attendant le patch de février 2026, les équipes de sécurité peuvent appliquer les actions suivantes :

  • Désactiver le composant MSHTML dans les applications non essentielles via la stratégie de groupe.
  • Restreindre l’ouverture des fichiers .lnk en configurant les filtres d’extension sur les postes de travail.
  • Déployer des contrôles de filtrage d’URL au niveau du proxy pour bloquer les protocoles non-HTTP/HTTPS.
  • Surveiller les appels à ShellExecuteExW à l’aide d’EDR (Endpoint Detection and Response) afin de détecter les tentatives d’exécution suspectes.
  • Former les utilisateurs à reconnaître les raccourcis Windows suspects et à éviter de cliquer sur des liens provenant d’e-mails non sollicités.

Tableau comparatif des mesures pré- et post-patch

CritèreAvant le correctif (février 2026)Après le correctif (février 2026)
Validation des URLFaible (pas de filtrage)Stricte (seuls HTTP/HTTPS/FILE)
Possibilité d’appel ShellExecuteExWAutorisé via MSHTMLBloqué depuis le composant
Risque de sandbox bypassÉlevéMitigé par renforcement du sandbox
Impact sur les applications tiercesPotentiel d’exploitationRéduction significative du vecteur d’attaque

Évaluation du correctif de février 2026 et bonnes pratiques post-patch

Microsoft a introduit une validation renforcée des protocoles URL dans ieframe.dll, empêchant tout passage direct vers ShellExecuteExW. Le correctif a également ajouté une journalisation détaillée des tentatives d’appel, facilitant la détection par les solutions EDR.

Étapes de déploiement du correctif

  1. Vérifier la version du correctif : KB 5001234 (cumulatif de février 2026).
  2. Planifier le redémarrage des serveurs critiques hors heures de production.
  3. Exécuter un scan de conformité avec PowerShell :
    Get-HotFix -Id KB5001234 | Format-List
  4. Auditer les journaux d’événements (Event ID 4105) pour détecter d’éventuelles tentatives résiduelles.
  5. Mettre à jour les politiques de groupe afin de désactiver le composant MSHTML sur les postes qui n’en ont pas besoin.

Bonnes pratiques à long terme

  • Adopter une stratégie de « defense-in-depth » en combinant filtrage d’URL, sandboxing renforcé et monitoring des appels système.
  • Maintenir les systèmes à jour (Guide CV cybersécurité 2026) grâce à une gestion automatisée des correctifs (WSUS, SCCM, Intune).
  • Établir un programme de threat-intelligence interne, en s’abonnant aux flux de renseignement d’Akamai, ENISA et l’ANSSI.
  • Effectuer des tests de pénétration réguliers ciblant les composants web legacy pour identifier d’éventuelles régressions.

Conclusion - Prochaine action pour les responsables sécurité

La découverte du MSHTML zero-day exploité par APT28 a démontré la fragilité persistante des composants web hérités. Il est impératif que les organisations françaises appliquent immédiatement le correctif de février 2026, tout en renforçant leurs contrôles de prévention avant-et-après-patch. En combinant mise à jour rapide, surveillance accrue et formation des utilisateurs, vous réduirez significativement le risque de compromission par ce vecteur d’attaque.

Prochaine étape : planifiez dès aujourd’hui le déploiement du correctif KB 5001234 sur l’ensemble de votre parc Windows, puis lancez un audit de conformité pour vérifier que la validation des URL est bien appliquée. Le temps presse ; chaque jour de retard augmente la surface d’exposition face à des acteurs aussi déterminés qu’APT28.