Six zero-days activement exploités : dans les coulisses du Patch Tuesday le plus dangereux de février 2026

Un Patch Tuesday sans précédent

La mise à jour de sécurité mensuelle de Microsoft pour février 2026, publiée le 10 février, est arrivée avec une charge qui a battu des records et déclenché des alertes dans toute la communauté de la cybersécurité. Parmi les 58 vulnérabilités corrigées — avec Tenable comptant 54 CVE Microsoft uniques, dont deux classées critiques, 51 importantes et une modérée — six étaient déjà activement exploitées dans la nature avant la disponibilité des correctifs. La publication simultanée d’Adobe a corrigé 44 vulnérabilités supplémentaires à travers neuf avis produits, aggravant ce qui était déjà le Patch Tuesday le plus dangereux de ces dernières années.

Six zero-days simultanément exploités est exceptionnel selon toute mesure historique. Au cours d’un mois typique, Microsoft corrige zéro à deux vulnérabilités activement exploitées. L’ampleur du lot de février 2026 — couvrant le Windows Shell, le cadre de rendu MSHTML, Microsoft Word, les services Bureau à distance (Remote Desktop Services), le Desktop Window Manager et le gestionnaire de connexion d’accès à distance (Remote Access Connection Manager) — indique une exploitation par de multiples groupes de menaces ciblant différents aspects de l’écosystème Windows simultanément. Les chercheurs d’Akamai ont par la suite lié l’une des vulnérabilités au groupe étatique russe APT28.

La CISA a réagi en ajoutant les six vulnérabilités à son catalogue des vulnérabilités exploitées connues (KEV), imposant aux agences de l’exécutif fédéral civil d’appliquer les correctifs avant le 3 mars 2026. Pour les équipes de sécurité déjà sollicitées par les exigences opérationnelles de la mise à jour continue, la mise à jour de février présentait un défi de triage impossible.

Les six zero-days : analyse technique

CVE-2026-21510 : contournement de la fonction de sécurité du Windows Shell (CVSS 8.8)

La vulnérabilité la plus immédiatement dangereuse du lot était un contournement de fonction de sécurité dans le Windows Shell — le composant responsable de la gestion des opérations sur les fichiers, des raccourcis et de l’interface utilisateur pour la gestion de fichiers. La vulnérabilité permettait aux attaquants de contourner les boîtes de dialogue d’avertissement de sécurité de Windows SmartScreen et du Shell, permettant l’exécution d’un fichier malveillant spécialement conçu sans déclencher les invites de sécurité sur lesquelles les utilisateurs ont été formés à se fier.

La vulnérabilité contournait la protection Mark of the Web (MotW) — un mécanisme de sécurité qui marque les fichiers téléchargés depuis Internet et déclenche des avertissements supplémentaires lors de leur ouverture. En exploitant cette faille, les attaquants pouvaient livrer des fichiers de liens (.lnk) ou de raccourcis malveillants par e-mail ou par téléchargement web qui s’exécutaient sans les boîtes de dialogue de consentement standard. Un seul clic suffisait pour l’exploitation.

Cette vulnérabilité a été divulguée publiquement avant la disponibilité du correctif et a été exploitée dans la nature en tant que zero-day. Elle affecte toutes les versions actuellement supportées de Windows.

CVE-2026-21513 : contournement de la fonction de sécurité du cadre MSHTML (CVSS 8.8)

MSHTML — le moteur de rendu HTML hérité qui alimente les composants Internet Explorer encore intégrés dans tout Windows — continue d’être une source prolifique de vulnérabilités critiques malgré la mise à la retraite officielle d’Internet Explorer. Ce contournement de fonction de sécurité, enraciné dans la logique de navigation des hyperliens d’`ieframe.dll`, résultait d’une validation insuffisante des URL cibles. Cela permettait à une entrée contrôlée par l’attaquant d’atteindre des chemins de code invoquant `ShellExecuteExW`, permettant l’exécution de ressources locales ou distantes en dehors du contexte de sécurité du navigateur prévu.

Selon l’analyse technique d’Akamai, l’exploit utilisait des iframes imbriqués et de multiples contextes DOM (Document Object Model) pour manipuler les limites de confiance, contournant à la fois le MotW et la configuration de sécurité renforcée d’IE. Les attaquants ont livré l’exploit via des fichiers LNK malveillants.

Cette vulnérabilité a été ultérieurement liée au groupe russe APT28 (Fancy Bear) par les chercheurs d’Akamai, qui ont identifié un artefact malveillant téléversé sur VirusTotal le 30 janvier 2026 — avant la disponibilité du correctif — associé à une infrastructure liée au groupe étatique russe. Le correctif de Microsoft a introduit une validation plus stricte du protocole des hyperliens, garantissant que les protocoles supportés s’exécutent dans le contexte du navigateur plutôt que d’être directement transmis à `ShellExecuteExW`.

CVE-2026-21514 : contournement de la fonction de sécurité de Microsoft Word (CVSS 7.8)

Cette vulnérabilité permettait aux attaquants de créer des documents Word contournant les mesures défensives basées sur OLE dans les composants intégrés de Microsoft 365 et Microsoft Office. En exploitant cette faille, un document malveillant pouvait contourner les protections destinées à empêcher les contrôles COM/OLE vulnérables de s’exécuter. La vulnérabilité ne s’active pas via le volet de prévisualisation, nécessitant que l’utilisateur ouvre réellement le document malveillant.

Les mesures d’atténuation OLE ont été l’une des défenses les plus efficaces contre les attaques basées sur les documents, et leur contournement représente une régression significative dans la posture de sécurité de chaque organisation qui s’appuie sur Microsoft Office. La vulnérabilité a été observée dans des attaques ciblées où l’échange de documents est un processus métier fondamental.

CVE-2026-21533 : élévation de privilèges dans les services Bureau à distance (CVSS 7.8)

Le protocole Bureau à distance (RDP) reste l’une des technologies d’accès à distance les plus largement déployées dans les environnements d’entreprise. Cette vulnérabilité d’élévation de privilèges, causée par une gestion inappropriée des privilèges dans les services Bureau à distance de Windows, permettait à un attaquant local authentifié avec de faibles privilèges de s’élever au niveau SYSTEM sur la machine cible.

CrowdStrike a identifié et signalé cette vulnérabilité à Microsoft. La recherche rétrospective de CrowdStrike Intelligence a révélé que les acteurs de la menace utilisaient le binaire d’exploit dans la nature pour cibler des entités basées aux États-Unis et au Canada depuis au moins le 24 décembre 2025 — près de sept semaines avant la publication du correctif. L’exploit modifie une clé de configuration de service, la remplaçant par une clé contrôlée par l’attaquant qui permet l’escalade de privilèges, y compris l’ajout d’un nouvel utilisateur au groupe Administrateurs.

En termes pratiques, tout utilisateur pouvant établir une session RDP — y compris les utilisateurs avec un accès restreint ou les attaquants ayant obtenu un accès initial via des identifiants compromis de faible privilège — peut s’élever au contrôle total du système. La CISA a ajouté cette vulnérabilité au catalogue KEV avec une échéance de remédiation au 3 mars 2026.

CVE-2026-21519 : élévation de privilèges du Desktop Window Manager (CVSS 7.8)

Le Desktop Window Manager (DWM) — le composant système responsable des effets de rendu visuel incluant la transparence, les miniatures et les animations de fenêtres — contenait une vulnérabilité de confusion de type (CWE-843 : accès à une ressource utilisant un type incompatible) qui pouvait être exploitée par un attaquant local pour exécuter du code arbitraire avec les privilèges SYSTEM.

Les vulnérabilités de confusion de type surviennent lorsqu’un logiciel traite des données comme un type différent de celui prévu, entraînant une corruption de mémoire que les attaquants peuvent exploiter. La vulnérabilité DWM nécessitait un accès local, ce qui en faisait principalement une technique d’escalade de privilèges dans des attaques en plusieurs étapes. L’exploitation observée impliquait le chaînage de cette vulnérabilité avec un exploit d’accès initial pour réaliser la compromission complète du système à partir d’une seule interaction utilisateur.

CVE-2026-21525 : déni de service du gestionnaire de connexion d’accès à distance (CVSS 6.2)

Le sixième zero-day était une vulnérabilité de déni de service dans le gestionnaire de connexion d’accès à distance de Windows (RasMan), causée par un déréférencement de pointeur nul. Bien que les vulnérabilités de déni de service soient souvent considérées comme moins graves que les failles d’exécution de code, cette vulnérabilité était significative en pratique car RasMan est le service responsable du maintien des connexions VPN vers les réseaux d’entreprise.

L’exploitation provoquait une défaillance du service RasMan, perturbant les fonctionnalités de connectivité VPN qui en dépendent. La vulnérabilité a été découverte via un dépôt de logiciels malveillants publiquement accessible, et malgré son score CVSS modéré, son exploitation active lui a valu une place dans le catalogue KEV de la CISA aux côtés des cinq zero-days de sévérité supérieure.

Le facteur Adobe : 44 vulnérabilités supplémentaires

Aggravant les vulnérabilités Microsoft, la mise à jour de sécurité d’Adobe de février 2026 a corrigé 44 vulnérabilités à travers neuf avis produits couvrant Audition, After Effects, InDesign Desktop, Substance 3D Designer, Substance 3D Stager, Substance 3D Modeler, Bridge, Lightroom Classic et le SDK DNG. Vingt-sept d’entre elles ont reçu des classifications de sévérité critique, avec une exploitation réussie pouvant potentiellement conduire à l’exécution de code arbitraire. Les vulnérabilités restantes étaient classées importantes, couvrant des problèmes d’exposition mémoire et de déni de service.

La confluence des vulnérabilités Microsoft et Adobe dans le même cycle de mise à jour crée un risque cumulé pour les organisations. Les défenseurs qui priorisent la correction des produits d’un fournisseur tout en reportant l’autre restent exposés par de multiples chemins d’attaque indépendants.

Ce que l’ampleur révèle sur les acteurs de la menace

L’exploitation active simultanée de six zero-days à travers différents composants Windows n’est pas aléatoire. Elle révèle plusieurs choses sur l’état actuel du paysage des menaces.

Premièrement, l’ampleur confirme que de multiples groupes de menaces exploitent différentes vulnérabilités indépendamment. CrowdStrike a découvert la vulnérabilité RDP (CVE-2026-21533) à travers son propre travail de réponse aux incidents, tandis qu’Akamai a lié la faille MSHTML (CVE-2026-21513) au groupe russe APT28. La diversité des composants affectés et les différents schémas d’exploitation confirment une exploitation parallèle par différents acteurs aux capacités et objectifs distincts.

Deuxièmement, la présence de chaînes d’exploits — des vulnérabilités conçues pour être utilisées ensemble, comme l’escalade de privilèges DWM chaînée avec un exploit d’accès initial — indique des acteurs sophistiqués qui développent et maintiennent des portefeuilles d’exploits zero-day. La marchandisation du marché des exploits a rendu les exploits chaînés accessibles à un éventail plus large de groupes de menaces au-delà des acteurs étatiques traditionnels.

Troisièmement, le ciblage de composants hérités — MSHTML en particulier — démontre que les attaquants explorent activement le code obsolète à la recherche de vulnérabilités. La faille d’`ieframe.dll` dans CVE-2026-21513 exploite la logique de navigation des hyperliens dans un composant que la plupart des utilisateurs croient avoir été retiré avec Internet Explorer, mais qui reste profondément intégré dans Windows. Cette surface d’attaque héritée est un risque persistant et croissant.

Le défi du triage des correctifs

Pour les équipes de sécurité d’entreprise, six zero-days simultanés créent une crise de triage. Les processus standards de gestion des vulnérabilités — évaluer, prioriser, tester, déployer — supposent que les organisations ont le temps d’évaluer les correctifs avant de les déployer. Lorsque des vulnérabilités sont déjà activement exploitées, avec la CISA imposant une remédiation avant le 3 mars, le calcul change : le risque de déployer un correctif non testé est mis en balance avec la certitude d’une exploitation en cours.

Plusieurs facteurs compliquent un déploiement rapide. Les environnements d’entreprise nécessitent généralement des tests de correctifs pour assurer la compatibilité avec les applications critiques avant un déploiement large. Certains systèmes — technologie opérationnelle, dispositifs médicaux, applications héritées — ne peuvent pas être facilement corrigés sans risque de perturbation opérationnelle. Les effectifs distants et distribués signifient que tous les points d’accès ne sont pas immédiatement joignables pour le déploiement des correctifs.

Le Patch Tuesday de février 2026 a renforcé l’argument en faveur des systèmes automatisés de gestion des correctifs capables de déployer les mises à jour de sécurité critiques avec une intervention manuelle minimale. Les organisations ayant mis en place un déploiement automatisé pour les correctifs classifiés de sécurité ont pu commencer la remédiation en quelques heures, tandis que celles s’appuyant sur des processus manuels en étaient encore aux évaluations d’impact alors que les exploits étaient déjà actifs contre leurs systèmes.

Recommandations défensives

Au-delà de la correction — qui doit être traitée en urgence pour les six zero-days — les organisations devraient prendre plusieurs mesures défensives supplémentaires.

Désactiver ou restreindre le rendu MSHTML là où c’est possible, en particulier dans les clients de messagerie. Configurer les systèmes de messagerie pour afficher les messages en texte brut par défaut. Activer les règles de réduction de la surface d’attaque (ASR) dans Microsoft Defender qui bloquent les applications Office de créer des processus enfants et de créer du contenu exécutable.

Restreindre l’accès RDP au périmètre minimum requis. Mettre en place des exigences d’authentification au niveau du réseau, imposer la MFA pour toutes les sessions RDP et utiliser des solutions de gestion des accès privilégiés offrant un accès RDP en juste-à-temps plutôt qu’un accès permanent. Étant donné que CVE-2026-21533 était exploité dans la nature depuis décembre 2025, les organisations devraient examiner les journaux d’accès RDP à la recherche de signes de compromission antérieure.

Déployer des outils de détection et de réponse aux points d’accès (EDR) avec des capacités de détection comportementale capables d’identifier les tentatives d’exploitation indépendamment de la vulnérabilité spécifique exploitée. Les schémas d’attaque associés à ces vulnérabilités — création de processus inhabituels, changements de privilèges inattendus, modifications anomales de configuration de service — sont détectables par l’analyse comportementale même avant la disponibilité de signatures de détection spécifiques.

Revoir et renforcer les contrôles de sécurité des e-mails, le courrier électronique ayant été le vecteur de livraison principal pour plusieurs des vulnérabilités exploitées. Cela inclut le filtrage des pièces jointes, la réécriture et l’inspection des URL, et l’analyse en bac à sable des pièces jointes suspectes.

Sources et lectures complémentaires

• Microsoft February 2026 Patch Tuesday Fixes 6 Zero-Days, 58 Flaws — BleepingComputer
• 6 Actively Exploited Zero-Days Patched by Microsoft With February 2026 Updates — SecurityWeek
• APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday — The Hacker News
• Inside the Fix: Analysis of In-the-Wild Exploit of CVE-2026-21513 — Akamai
• The February 2026 Security Update Review — Zero Day Initiative
• Patch Tuesday: Adobe Fixes 44 Vulnerabilities in Creative Apps — SecurityWeek