5 min de lecture<\/p>\n
Windows Defender est actuellement la cible d’attaques actives depuis le 16 avril 2026. Les deux failles d’\u00e9l\u00e9vation de privil\u00e8ges BlueHammer (CVE-2026-33825) et RedSun, r\u00e9v\u00e9l\u00e9es lors du Patch Tuesday d’avril, sont d\u00e9sormais exploit\u00e9es dans des incidents r\u00e9els. Les attaquants combinent ces exploits avec UnDefend pour \u00e9tablir une persistance, effectuer du credential dumping, du lateral movement et d\u00e9ployer des ransomwares. Pour les \u00e9quipes de s\u00e9curit\u00e9 des entreprises DACH, il s’agit du niveau d’urgence le plus \u00e9lev\u00e9 depuis des mois.<\/strong><\/p>\n L’essentiel en bref<\/p>\n En lien<\/span>Le BSI met en garde contre F5 BIG-IP, Citrix et Trivy : mesures op\u00e9rationnelles<\/a> \/<\/span> Playbook ransomware : 72 heures pour les \u00e9quipes de s\u00e9curit\u00e9 DACH<\/a><\/p>\n Qu’est-ce que BlueHammer ?<\/strong> BlueHammer est le nom public de la zero-day CVE-2026-33825 dans Windows Defender. Techniquement, il s’agit d’une condition de course TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de rem\u00e9diation des menaces. Un attaquant local exploite l’intervalle de temps entre la v\u00e9rification et le traitement d’un fichier class\u00e9 comme malveillant pour \u00e9tendre ses propres droits au niveau SYSTEM.<\/p>\n L’exploit a \u00e9t\u00e9 publi\u00e9 le 7 avril 2026, avant que Microsoft ne d\u00e9ploie un correctif. Le Patch Tuesday d’avril (14.04.) a corrig\u00e9 la CVE-2026-33825. Deux jours plus tard, le m\u00eame chercheur a publi\u00e9 un second exploit, RedSun, pr\u00e9sent\u00e9 comme un acte de protestation contre le processus de divulgation de Microsoft. RedSun exploite une vuln\u00e9rabilit\u00e9 apparent\u00e9e, qui n’a pas \u00e9t\u00e9 enti\u00e8rement corrig\u00e9e dans le patch d’avril. UnDefend, enfin, est un outil compl\u00e9mentaire qui contourne la surveillance de Defender.<\/p>\n L\u2019association BlueHammer, RedSun et UnDefend est presque parfaite du point de vue des attaquants. Le chemin d\u2019escalade de privil\u00e8ges local fonctionne sur une majorit\u00e9 de terminaux Windows qui n\u2019ont pas encore \u00e9t\u00e9 enti\u00e8rement corrig\u00e9s au cours des 14 derniers jours. Les attaquants contournent la t\u00e9l\u00e9m\u00e9trie EDR, car UnDefend neutralise les composants de d\u00e9tection. Ils extraient ensuite les identifiants de LSASS, se d\u00e9placent lat\u00e9ralement et d\u00e9ploient leur charge utile, g\u00e9n\u00e9ralement un ransomware.<\/p>\n Depuis le 16 avril, les flux de threat intelligence en Europe et aux \u00c9tats-Unis signalent de mani\u00e8re constante des incidents dans les secteurs de la finance, de la sant\u00e9 et de la fabrication. Le BSI n\u2019a pas encore \u00e9mis d\u2019avertissement officiel avec un advisory propre, la coordination passant par les canaux CERT-Bund vers les secteurs concern\u00e9s. Les prochaines 48 \u00e0 72 heures seront d\u00e9cisives pour d\u00e9terminer l\u2019ampleur de cette vague. Selon plusieurs entreprises de threat intelligence, des groupes de ransomware li\u00e9s \u00e0 la Russie auraient d\u00e9j\u00e0 int\u00e9gr\u00e9 cette combinaison dans leurs kits d\u2019attaque, ce qui acc\u00e9l\u00e8re sa propagation.<\/p>\n Ce cas illustre \u00e0 quel point les cycles de divulgation et d\u2019exploitation active se sont rapproch\u00e9s en 2026. Entre la publication publique d\u2019une preuve de concept et la premi\u00e8re campagne active, il ne s\u2019est \u00e9coul\u00e9 que neuf jours dans ce cas pr\u00e9cis. Il y a trois ans, ce d\u00e9lai \u00e9tait encore de trois \u00e0 six semaines. La r\u00e9duction de cette fen\u00eatre remet en question les processus classiques de gestion des correctifs. Les patches hors bande et les pipelines de d\u00e9ploiement automatis\u00e9s ne sont plus des fonctionnalit\u00e9s de luxe, mais une n\u00e9cessit\u00e9 op\u00e9rationnelle.<\/p>\n Priorit\u00e9s imm\u00e9diates<\/p>\n S\u00e9curisation \u00e0 moyen terme<\/p>\n La mesure imm\u00e9diate la plus importante est le taux de correctifs. Le Patch Tuesday d’avril est encore en cours de d\u00e9ploiement dans de nombreuses entreprises, car les vagues de d\u00e9ploiement prennent g\u00e9n\u00e9ralement 7 \u00e0 14 jours. Dans la situation actuelle de menace, ce cycle est trop long. Les RSSI devraient, en collaboration avec l’\u00e9quipe de gestion des clients, mettre en place une vague sp\u00e9ciale qui force le correctif d’avril sur tous les terminaux. Ceux qui sont encore au niveau du correctif de mars ont un probl\u00e8me aigu.<\/p>\n Parall\u00e8lement \u00e0 la vague de correctifs, une chasse aux menaces via la t\u00e9l\u00e9m\u00e9trie des terminaux est recommand\u00e9e. Les arr\u00eats du service Defender, les acc\u00e8s inattendus au LSASS et les processus SYSTEM anormaux sont les signaux par lesquels les attaquants se manifestent actuellement. Les clients de Sentinel disposent de r\u00e8gles d’analyse pr\u00e9d\u00e9finies, CrowdStrike a activ\u00e9 des d\u00e9tections IOA dans la mise \u00e0 jour d’avril. Pour les \u00e9quipes sans chasseur de menaces d\u00e9di\u00e9, un balayage de deux heures sur les sept derniers jours suffit pour isoler les sch\u00e9mas suspects.<\/p>\n Enfin, un point important sur le plan organisationnel. BlueHammer et RedSun ont montr\u00e9 que les publications d’exploits avant les correctifs deviendront plus fr\u00e9quentes d’ici 2026. Le rythme classique du Patch Tuesday n’est plus s\u00fbr. Les \u00e9quipes de s\u00e9curit\u00e9 devraient d\u00e9finir avec la gestion des clients et la direction une r\u00e8gle sp\u00e9ciale permettant des d\u00e9ploiements de correctifs hors bande en cas de zero-days activement exploit\u00e9s. Ceux qui n’ont pas document\u00e9 cette d\u00e9cision \u00e0 l’avance perdent des jours en coordination, un temps qu’ils n’ont pas.<\/p>\n Les indicateurs de compromission incluent des arr\u00eats inhabituels du service Defender, des processus au niveau SYSTEM inattendus avec des parents dans les sessions utilisateur, et des acc\u00e8s fr\u00e9quents au LSASS peu apr\u00e8s les \u00e9v\u00e9nements de connexion. Les fournisseurs de threat intelligence comme CrowdStrike, Microsoft Defender for Endpoint et Sentinel ont int\u00e9gr\u00e9 ces sch\u00e9mas dans leurs r\u00e8gles actuelles. Une chasse personnalis\u00e9e dans le SIEM sur ces signatures est d\u00e9sormais judicieuse.<\/p>\n Acc\u00e9l\u00e9rer imm\u00e9diatement la vague de d\u00e9ploiement. Les d\u00e9lais de d\u00e9ploiement standard ne conviennent pas \u00e0 la situation actuelle. Si le correctif est retard\u00e9 pour des raisons de compatibilit\u00e9, des solutions de contournement temporaires sont d\u00e9crites dans les avis Microsoft. Renforcer en outre la segmentation du r\u00e9seau et l’acc\u00e8s Zero Trust aux points critiques.<\/p>\n Principalement les clients, car le vecteur d’attaque n\u00e9cessite une session utilisateur. Cependant, les serveurs Windows avec connexion interactive ou services Terminal sont \u00e9galement concern\u00e9s. Defender for Servers et ses \u00e9quivalents Azure disposent des correctifs, mais la priorisation des d\u00e9ploiements sur les serveurs est souvent moins bonne que sur les clients.<\/p>\n\n
Ce que signifient techniquement BlueHammer et RedSun<\/h2>\n
Pourquoi les attaquants ont op\u00e9rationnalis\u00e9 cette combinaison aussi rapidement<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 doivent faire dans les 72 prochaines heures<\/h2>\n
\n
\n
Questions fr\u00e9quentes<\/h2>\n
Comment d\u00e9tecter les attaques avec BlueHammer ou RedSun ?<\/h3>\n
Que faire si le correctif d’avril n’est pas encore d\u00e9ploy\u00e9 dans l’entreprise ?<\/h3>\n
L’attaque concerne-t-elle aussi les serveurs ou uniquement les clients Windows ?<\/h3>\n
Plus du r\u00e9seau MBF Media<\/h2>\n