Vulnérabilités critiques dans Microsoft Windows et Office faisant l'objet d'une exploitation active généralisée (CVE-2026-21510)
Résumé
Le Patch Tuesday de février 2026 de Microsoft corrige plusieurs failles de sécurité critiques, six failles zero-day ayant été signalées comme activement exploitées dans la nature avant que les correctifs ne soient mis à la disposition du public. Les vulnérabilités révélées concernent les composants Windows intégrés, notamment Windows Shell, MSHTML, Microsoft Word, Windows Notepad, Desktop Window Manager, Remote Desktop Services et Remote Access Connection Manager.
Ces failles de type « jour zéro » permettent aux attaquants de contourner les fonctionnalités de sécurité, susceptibles d'inciter les utilisateurs à exécuter du code malveillant avec un minimum d'interaction avec l'utilisateur, par le biais d'attaques de hameçonnage/Phishing et d'autres méthodes d'ingénierie sociale.
Face à la généralisation des campagnes d'exploitation et à la diffusion de code public de validation de principe, Beazley Security recommande vivement aux entreprises de corriger ces vulnérabilités immédiatement.
Systèmes et produits concernés
Une liste complète des divulgations de vulnérabilités est disponible sur Guide des mises à jour de sécurité de Microsoft.
Atténuations et solutions de contournement
Beazley Security recommande vivement d'appliquer les mises à jour de février 2026 dès que possible afin de protéger les systèmes concernés. En outre, les mesures suivantes peuvent être prises pour réduire les risques :
- Restreindre les privilèges des utilisateurs sur les terminaux afin de limiter l'impact de l'augmentation des privilèges
- Surveillez les activités suspectes sur les terminaux et assurez-vous que les défenses de protection des terminaux sont à jour
- Filtrez les pièces jointes des e-mails à l'aide de passerelles de messagerie sécurisées et d'autres systèmes de partage de fichiers pour détecter les fichiers et les liens malveillants
Patchs
Les organisations concernées devraient accélérer le déploiement des mises à jour de sécurité de février 2026 dans leurs environnements, en donnant la priorité aux CVE connus pour être exploités activement, comme indiqué dans la section « Systèmes et produits concernés » ci-dessus.
Une liste complète des correctifs peut être trouvée en consultant Patch Tuesday de Microsoft notes de publication.
Détails techniques
Parmi les six jours zéro signalés comme faisant l'objet d'une exploitation active, les trois ayant obtenu les scores CVSS les plus élevés sont :
- CVE-2026-21510 (8.8) — Affecte le shell Windows, les acteurs de la menace réussissant à inciter les utilisateurs ciblés à cliquer sur un lien malveillant pourraient contourner Microsoft SmartScreen pour installer un logiciel malveillant
- CVE-2026-21513 (8.8) — Affecte le framework MSHTML, les acteurs de la menace réussissant à inciter les utilisateurs ciblés à cliquer sur un fichier HTML ou lien malveillant pourraient contourner les fonctionnalités de sécurité de Microsoft pour installer un logiciel malveillant
- CVE-2026-21514 (7.8) — Affecte Microsoft 365 et Microsoft Office. Les acteurs de la menace qui réussissent à inciter les utilisateurs ciblés à ouvrir un fichier Office malveillant pourraient contourner les mesures de sécurité pour installer un logiciel malveillant
Parmi ces trois espèces, la CVE-2026-21510 est signalée par Google Threat Intelligence comme étant « exploitée activement et à grande échelle ». Les trois nécessitent une interaction de l'utilisateur, et la nature de chaque vulnérabilité indique clairement que les vagues d'exploits actuelles sont du type Hameçonnage/Phishing ou des campagnes d'e-mails malveillants.
Ces vulnérabilités sont particulièrement dangereuses car elles sont susceptibles d'être utilisées comme armes par des acteurs malveillants pour mener des attaques de Hameçonnage/Phishing et d'ingénierie sociale. Leur exploitation en un clic par le biais de liens ou de pièces jointes malveillants en fait un outil idéal pour les campagnes d'Hameçonnage/Phishing à grande échelle et de diffusion de logiciels malveillants qui ciblent les utilisateurs au sein des environnements d'entreprise.
Comment Beazley Security réagit
Beazley Security surveille et mène des chasses aux menaces dans les environnements MDR afin de détecter les tentatives d'exploitation potentielles contre ses clients.
Si vous pensez que votre organisation a peut-être été touchée par ces attaques et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.
Sources
- Microsoft : mises à jour de sécurité de février 2026
- Microsoft : Vulnérabilité de contournement de la fonctionnalité de sécurité de Windows Shell CVE-2026-21510
- Microsoft : Vulnérabilité de contournement de la fonctionnalité de sécurité du framework MSHTML (CVE-2026-21513)
- Microsoft : Vulnérabilité liée au contournement de la fonctionnalité de sécurité de Microsoft Word (CVE-2026-21514)
- Microsoft : Vulnérabilité d'élévation de privilèges dans Desktop Window Manager (CVE-2026-21519)
- Microsoft : Vulnérabilité d'élévation de privilèges liée aux services Windows Remote Desktop (CVE-2026-21533)
- Microsoft : Vulnérabilité de déni de service dans le gestionnaire de connexions Windows Remote Access (CVE-2026-21525)
- Microsoft : Vulnérabilité d'exécution de code à distance dans l'application Windows Notepad (CVE-2026-20841)
Vous êtes au courant d'un incident qui a un impact sur votre secteur d'activité ? Faites-nous savoir :