Windows Defender sous le feu : BlueHammer et RedSun activement exploités depuis le 16.04

5 min de lecture

Mise à jour : avril 2026 (21.04.2026)

Windows Defender est actuellement la cible d’attaques actives depuis le 16 avril 2026. Les deux failles d’élévation de privilèges BlueHammer (CVE-2026-33825) et RedSun, révélées lors du Patch Tuesday d’avril, sont désormais exploitées dans des incidents réels. Les attaquants combinent ces exploits avec UnDefend pour établir une persistance, effectuer du credential dumping, du lateral movement et déployer des ransomwares. Pour les équipes de sécurité des entreprises DACH, il s’agit du niveau d’urgence le plus élevé depuis des mois.

L’essentiel en bref

Deux zero-days dans Windows Defender. BlueHammer (CVE-2026-33825, patché le 14.04.) et l’exploit RedSun qui a suivi ciblent tous deux une élévation de privilèges via une condition de course TOCTOU dans le moteur de remédiation des menaces.
Exploitation active depuis le 16.04. Les flux de threat intelligence documentent des campagnes enchaînant BlueHammer, RedSun et UnDefend. Résultat : persistance, credential dumping, déploiement de ransomware et lateral movement.
Patch Tuesday d’avril avec 167 correctifs. Le correctif d’avril corrige 167 vulnérabilités, dont deux zero-days. Ceux qui n’ont pas encore appliqué le patch risquent une exploitation sous quelques jours.

En lienLe BSI met en garde contre F5 BIG-IP, Citrix et Trivy : mesures opérationnelles / Playbook ransomware : 72 heures pour les équipes de sécurité DACH

Ce que signifient techniquement BlueHammer et RedSun

Qu’est-ce que BlueHammer ? BlueHammer est le nom public de la zero-day CVE-2026-33825 dans Windows Defender. Techniquement, il s’agit d’une condition de course TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remédiation des menaces. Un attaquant local exploite l’intervalle de temps entre la vérification et le traitement d’un fichier classé comme malveillant pour étendre ses propres droits au niveau SYSTEM.

L’exploit a été publié le 7 avril 2026, avant que Microsoft ne déploie un correctif. Le Patch Tuesday d’avril (14.04.) a corrigé la CVE-2026-33825. Deux jours plus tard, le même chercheur a publié un second exploit, RedSun, présenté comme un acte de protestation contre le processus de divulgation de Microsoft. RedSun exploite une vulnérabilité apparentée, qui n’a pas été entièrement corrigée dans le patch d’avril. UnDefend, enfin, est un outil complémentaire qui contourne la surveillance de Defender.

Pourquoi les attaquants ont opérationnalisé cette combinaison aussi rapidement

L’association BlueHammer, RedSun et UnDefend est presque parfaite du point de vue des attaquants. Le chemin d’escalade de privilèges local fonctionne sur une majorité de terminaux Windows qui n’ont pas encore été entièrement corrigés au cours des 14 derniers jours. Les attaquants contournent la télémétrie EDR, car UnDefend neutralise les composants de détection. Ils extraient ensuite les identifiants de LSASS, se déplacent latéralement et déploient leur charge utile, généralement un ransomware.

Depuis le 16 avril, les flux de threat intelligence en Europe et aux États-Unis signalent de manière constante des incidents dans les secteurs de la finance, de la santé et de la fabrication. Le BSI n’a pas encore émis d’avertissement officiel avec un advisory propre, la coordination passant par les canaux CERT-Bund vers les secteurs concernés. Les prochaines 48 à 72 heures seront décisives pour déterminer l’ampleur de cette vague. Selon plusieurs entreprises de threat intelligence, des groupes de ransomware liés à la Russie auraient déjà intégré cette combinaison dans leurs kits d’attaque, ce qui accélère sa propagation.

Ce cas illustre à quel point les cycles de divulgation et d’exploitation active se sont rapprochés en 2026. Entre la publication publique d’une preuve de concept et la première campagne active, il ne s’est écoulé que neuf jours dans ce cas précis. Il y a trois ans, ce délai était encore de trois à six semaines. La réduction de cette fenêtre remet en question les processus classiques de gestion des correctifs. Les patches hors bande et les pipelines de déploiement automatisés ne sont plus des fonctionnalités de luxe, mais une nécessité opérationnelle.

167 CVEs

Portée totale du Patch Tuesday de Microsoft d’avril 2026. Deux d’entre eux sont des zero-days, plusieurs autres présentent un potentiel d’escalade de privilèges. Des cycles de correctifs prioritaires s’imposent.

Source : Microsoft Security Response Center, April 2026 Patch Tuesday Summary.

Ce que les équipes de sécurité doivent faire dans les 72 prochaines heures

Priorités immédiates

Vérifier l’état des correctifs sur tous les terminaux Windows
Forcer le Patch Tuesday d’avril, même sur les clients en retard
Contrôler la télémétrie EDR pour les arrêts du service Defender
Sortir le playbook de réponse aux incidents des archives

Sécurisation à moyen terme

Durcissement des hôtes contre le LSASS-Dumping (Credential Guard)
Activer les alertes sur les indicateurs UnDefend dans le SIEM
Vérifier les contrôles de mouvement latéral (segmentation)
Évaluer un deuxième EDR en complément de Defender pour une défense en profondeur

La mesure immédiate la plus importante est le taux de correctifs. Le Patch Tuesday d’avril est encore en cours de déploiement dans de nombreuses entreprises, car les vagues de déploiement prennent généralement 7 à 14 jours. Dans la situation actuelle de menace, ce cycle est trop long. Les RSSI devraient, en collaboration avec l’équipe de gestion des clients, mettre en place une vague spéciale qui force le correctif d’avril sur tous les terminaux. Ceux qui sont encore au niveau du correctif de mars ont un problème aigu.

Parallèlement à la vague de correctifs, une chasse aux menaces via la télémétrie des terminaux est recommandée. Les arrêts du service Defender, les accès inattendus au LSASS et les processus SYSTEM anormaux sont les signaux par lesquels les attaquants se manifestent actuellement. Les clients de Sentinel disposent de règles d’analyse prédéfinies, CrowdStrike a activé des détections IOA dans la mise à jour d’avril. Pour les équipes sans chasseur de menaces dédié, un balayage de deux heures sur les sept derniers jours suffit pour isoler les schémas suspects.

Enfin, un point important sur le plan organisationnel. BlueHammer et RedSun ont montré que les publications d’exploits avant les correctifs deviendront plus fréquentes d’ici 2026. Le rythme classique du Patch Tuesday n’est plus sûr. Les équipes de sécurité devraient définir avec la gestion des clients et la direction une règle spéciale permettant des déploiements de correctifs hors bande en cas de zero-days activement exploités. Ceux qui n’ont pas documenté cette décision à l’avance perdent des jours en coordination, un temps qu’ils n’ont pas.

Questions fréquentes

Comment détecter les attaques avec BlueHammer ou RedSun ?

Les indicateurs de compromission incluent des arrêts inhabituels du service Defender, des processus au niveau SYSTEM inattendus avec des parents dans les sessions utilisateur, et des accès fréquents au LSASS peu après les événements de connexion. Les fournisseurs de threat intelligence comme CrowdStrike, Microsoft Defender for Endpoint et Sentinel ont intégré ces schémas dans leurs règles actuelles. Une chasse personnalisée dans le SIEM sur ces signatures est désormais judicieuse.

Que faire si le correctif d’avril n’est pas encore déployé dans l’entreprise ?

Accélérer immédiatement la vague de déploiement. Les délais de déploiement standard ne conviennent pas à la situation actuelle. Si le correctif est retardé pour des raisons de compatibilité, des solutions de contournement temporaires sont décrites dans les avis Microsoft. Renforcer en outre la segmentation du réseau et l’accès Zero Trust aux points critiques.

L’attaque concerne-t-elle aussi les serveurs ou uniquement les clients Windows ?

Principalement les clients, car le vecteur d’attaque nécessite une session utilisateur. Cependant, les serveurs Windows avec connexion interactive ou services Terminal sont également concernés. Defender for Servers et ses équivalents Azure disposent des correctifs, mais la priorisation des déploiements sur les serveurs est souvent moins bonne que sur les clients.