La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a donné l’ordre aux agences fédérales de sécuriser leurs systèmes Windows face à une vulnérabilité exploitée lors d’attaques de type zero-day.
Akamai. Elle a été décrite comme une vulnérabilité zero-click suite à un correctif incomplet de Microsoft concernant un défaut d’exécution de code à distance, le CVE-2026-21510, publié en février.
Selon les informations fournies par CERT-UA, le groupe de cyberespionnage russe APT28 (également connu sous le nom de UAC-0001 et Fancy Bear) a exploité le CVE-2026-21510 dans des attaques contre l’Ukraine et les pays de l’UE en décembre 2025. Ces attaques faisaient partie d’une chaîne d’exploitation qui incluait également une faille liée aux fichiers LNK (CVE-2026-21513).
Akamai a précisé que, bien que Microsoft ait corrigé l’erreur d’exécution de code à distance, la faille d’authentification CVE-2026-32202 a subsisté. Cette lacune entre la résolution de chemin et la vérification de confiance a engendré un vecteur de vol de crédentiels zero-click via l’analyse automatique des fichiers LNK.
Microsoft a indiqué que des attaquants à distance pouvaient exploiter cette vulnérabilité par le biais d’attaques peu complexes, en envoyant un fichier malveillant que la victime devait exécuter, permettant ainsi d’accéder à des informations sensibles sur les systèmes non corrigés.
La société a signalé l’exploitation de la vulnérabilité CVE-2026-3220 en tant qu’attaquée après qu’une demande d’informations ait été faite par BleepingComputer concernant l’évaluation de l’exploitabilité publiée lors du Patch Tuesday d’avril 2026, où cette vulnérabilité avait été initialement signalée comme non exploitée.
Les agences fédérales doivent appliquer les correctifs avant le 12 mai
Le mardi, la CISA a ajouté le CVE-2026-32202 à son Known Exploited Vulnerabilities (KEV) Catalog, ordonnant aux agences du Federal Civilian Executive Branch (FCEB) de mettre à jour leurs points d’accès Windows et leurs serveurs sous deux semaines, soit avant le 12 mai, conformément à la directive opérationnelle contraignante (BOD) 22-01.
La CISA a mis en garde en signalant que ce type de vulnérabilité constitue un vecteur d’attaque fréquent pour les acteurs malveillants et représente des risques importants pour les agences fédérales.
Les équipes de cybersécurité sont donc invitées à appliquer les mesures de mitigation recommandées, à suivre les instructions de la BOD 22-01 relatives aux services cloud, ou à cesser d’utiliser le produit si les correctifs ne sont pas disponibles.
Bien que la BOD 22-01 concerne uniquement les agences fédérales américaines, la CISA a exhorté toutes les équipes de sécurité à donner la priorité à l’installation des correctifs pour le CVE-2026-32202 et à sécuriser les réseaux de leurs organisations dès que possible.
Les acteurs malveillants exploitent également activement trois vulnérabilités de sécurité récemment révélées sur Windows, nommées BlueHammer, RedSun et UnDefend, lors d’attaques visant à obtenir des privilèges de SYSTEM ou d’administrateur élevé, ces deux dernières étant toujours en attente de correctifs.
Une chaîne de quatre zero-days a permis de contourner les protections à la fois du renderer et du système d’exploitation. Une nouvelle vague d’exploits se dessine.