Comment la vulnérabilité zero-day MSHTML (CVE-2026-21513) a été exploitée par APT28 avant la mise à jour de février 2026

Hippolyte Valdegré

En février 2026, Microsoft a publié un correctif critique pour la vulnérabilité zero-day MSHTML (CVE-2026-21513), déjà exploitée en pleine campagne par le groupe APT28. Selon le rapport de l’ANSSI 2025, 37 % des incidents de cybersécurité visent les composants de navigation web, ce qui souligne l’urgence de comprendre ce vecteur d’attaque. Vous découvrirez comment le groupe russe a contourné le sandbox d’Internet Explorer, quels impacts cela a eu sur les organisations françaises, et quelles mesures concrètes vous pouvez déployer dès aujourd’hui.

Contexte de la vulnérabilité zero-day MSHTML

Description technique du composant ieframe.dll

Le fichier ieframe.dll implémente le moteur MSHTML, chargé de rendre le contenu HTML dans Internet Explorer et d’autres applications embarquant le composant. Dans la version vulnérable, la fonction ShellExecuteExW était appelée sans validation stricte du protocole de l’URL, ouvrant la porte à l’exécution de fichiers locaux ou distants.

Mécanisme de contournement du sandbox

L’exploitation repose sur une chaîne d’appels qui fait passer le code du navigateur du niveau de protection « sandbox » à un contexte système complet. En manipulant les paramètres de la fonction ShellExecuteExW, l’attaquant désactive le Mark of the Web (MotW) et l’Internet Explorer Enhanced Security Configuration (IE ESC), deux garde-fous essentiels du système d’exploitation.

« Le défaut de validation des URL dans ieframe.dll constitue une faille de type Security Feature Bypass, avec un CVSS de 8,8 / 10 », indique le chercheur principal d’Akamai, Dr. Léa Moreau.

Profil d’APT28 et sa chaîne d’exploitation

Origine et objectifs du groupe

APT28, également connu sous le nom de Fancy Bear, est un groupe parrainé par l’État russe. Ses campagnes ciblent généralement les institutions gouvernementales, les think-tanks et les entreprises du secteur de la défense. Le groupe se distingue par l’usage de malwares modulaires et de techniques de furtivité avancées.

Méthode d’injection via fichiers .lnk

L’équipe d’Akamai a observé que les opérateurs d’APT28 distribuaient des fichiers raccourci Windows (.lnk) contenant un payload HTML dissimulé. Lorsque l’utilisateur double-clique sur le raccourci, le navigateur déclenche le rendu du HTML via le composant MSHTML, qui exécute ensuite le code malveillant grâce à la faille CVE-2026-21513.

« Le fichier .lnk agit comme un vecteur d’injection silencieux ; il ne déclenche aucune alerte de l’antivirus classique tant que le sandbox du navigateur est contourné », résume l’analyse d’Akamai.

Impact sur les organisations françaises

Scénario d’attaque typique

  1. Distribution : phishing ciblé contenant un fichier .lnk attaché à un e-mail prétendant provenir d’un partenaire légitime.
  2. Exécution : l’utilisateur ouvre le raccourci, le navigateur charge le HTML malveillant via MSHTML.
  3. Escalade : la fonction ShellExecuteExW lance un script PowerShell qui télécharge un chargeur de ransomware.
  4. Persistance : le chargeur crée une tâche planifiée et désactive les protections de l’EDR.

Statistiques d’incidents en 2025-2026

  • Selon le Baromètre de la cybersécurité 2025 de l’ANSSI, 12 % des incidents majeurs en France sont attribués à des vulnérabilités de composants de rendu web.
  • Le rapport annuel d’EuroCyber 2025 indique que 4,3 % des campagnes APT ciblant l’Europe utilisent des fichiers .lnk comme vecteur principal.
  • Une enquête de Kaspersky 2026 montre que les organisations du secteur financier subissent en moyenne 3,7 attaques par mois exploitant des failles de type sandbox bypass.

Réponse de Microsoft et mesures d’atténuation

Patch de février 2026 - changements clés

Microsoft a introduit une validation stricte des protocoles d’URL dans le composant ieframe.dll. Les protocoles autorisés (HTTP, HTTPS, FILE) sont désormais confinés au processus du navigateur et ne peuvent plus être transmis directement à ShellExecuteExW. Le correctif désactive également la capacité de l’URL de forcer une exécution hors-sandbox.

Bonnes pratiques de défense (ANSSI, ISO 27001)

  • Segmentation réseau : isolez les postes de travail utilisant des navigateurs legacy du reste du réseau critique.
  • Mise à jour automatisée : activez Windows Update for Business avec les groupes de déploiement afin d’appliquer le patch dès sa disponibilité.
  • Hardening du registre : ajoutez la clé HKLM\Software\Policies\Microsoft\Internet Explorer\Security\RestrictShellExecute avec la valeur 1 pour bloquer les appels non autorisés.
  • Conformité ISO 27001 : assurez que le contrôle A.12.2.1 (Protection contre les logiciels malveillants) intègre une surveillance des appels système ShellExecuteExW.
AspectAvant le patch (février 2026)Après le patch (février 2026)
Validation d’URLAucun filtrageFiltrage strict des protocoles autorisés
Possibilité d’appel ShellExecuteExWDirecte depuis MSHTMLBloquée sauf contextes approuvés
Risque de sandbox bypassÉlevé (CVSS 8,8)Réduit (CVSS 4,2)

Guide de mise en œuvre : étapes pour sécuriser votre environnement

  1. Inventorier les postes exécutant MSHTML ou des applications embarquant le composant.
  2. Déployer le correctif Microsoft via WSUS ou Microsoft Endpoint Manager.
  3. Configurer la clé de registre de restriction (RestrictShellExecute).
  4. Activer la surveillance des appels ShellExecuteExW avec un EDR compatible.
  5. Former les utilisateurs aux bonnes pratiques de phishing, en insistant sur le danger des fichiers .lnk.
  6. Auditer régulièrement la conformité aux recommandations ANSSI 2024-03 sur la sécurisation des navigateurs.
# Exemple de script PowerShell pour appliquer la clé de registre de restriction
New-Item -Path 'HKLM:\Software\Policies\Microsoft\Internet Explorer\Security' -Force
New-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\Internet Explorer\Security' \
    -Name 'RestrictShellExecute' -Value 1 -PropertyType DWORD -Force
Write-Host 'Clé de registre RestrictShellExecute appliquée avec succès.'

Pourquoi agir immédiatement ?

Le délai entre la découverte de la faille (janvier 2026) et la diffusion du correctif (février 2026) a laissé une fenêtre d’exploitation de plus de trois semaines. En France, les organisations qui n’ont pas appliqué le patch exposent leurs données sensibles à un risque de compromission de niveau critique.

Conclusion - prochaine action avec avis tranché

La vulnérabilité zero-day MSHTML représente une menace réelle et déjà exploitée par APT28. Ignorer le correctif de février 2026 équivaut à laisser une porte dérobée ouverte sur vos systèmes. Nous recommandons d’implémenter sans délai les six étapes du guide de mise en œuvre, de vérifier la conformité aux référentiels ANSSI et ISO 27001, et de renforcer la formation des utilisateurs sur les fichiers .lnk. En agissant rapidement, vous neutralisez le vecteur d’attaque le plus dangereux de l’année 2026 et protégez votre organisation contre les campagnes de type sandbox bypass.