Le correctif Windows d’avril de Microsoft a laissé une faille zero-click de vol d’identifiants

Microsoft a corrigé CVE-2026-32202 dans ses mises à jour d’avril 2026, mais la portée du problème est plus grave qu’il n’y paraît. D’après le compte rendu de SecurityWeek sur les travaux d’Akamai, un correctif antérieur incomplet avait laissé subsister une voie de vol d’identifiants en zero-click.

Concrètement, Windows Explorer peut contacter un serveur distant pour récupérer l’icône d’un fichier LNK malveillant. Cette connexion suffit à déclencher une authentification NTLM automatique et à exposer un hash Net-NTLMv2 sans clic de l’utilisateur.

Akamai relie également cette chaîne d’exploitation à APT28, groupe russe déjà observé contre l’Ukraine et des cibles européennes. Cela donne à cette faille une importance bien plus large qu’un simple bug technique.

La priorité est donc de déployer rapidement le correctif d’avril et de réexaminer l’exposition à NTLM, SMB et aux fichiers shortcut non fiables.