← Retour aux articles
Sécurité

Vulnérabilités Defender : 3 failles zero-day déjà exploitées par des hackers

Publié le 27 avr. 2026 · Par Quentin LECLUSE

Trois vulnérabilités zero-day critiques dans Microsoft Defender, BlueHammer, RedSun et UnDefend, sont activement exploitées par des cybercriminels. Découvrez les risques et les actions à mener.

Microsoft Defender zero-day Microsoft Defender vulnerabilities BlueHammer CVE-2026-33825 RedSun exploit UnDefend vulnerability sécurité Windows cyberattaque exploit patch security faille zero-day

La découverte et l'exploitation active de Microsoft Defender zero-day constituent un avertissement sévère pour toutes les organisations. Il ne s'agit pas de failles théoriques, mais de brèches déjà utilisées par des attaquants pour contourner les défenses. Comprendre la nature de ces vulnérabilités et leur impact est crucial pour tout responsable IT ou sysadmin soucieux de la sécurité Windows.

Les Trois Filles zero-day : BlueHammer, RedSun et UnDefend

Un chercheur en sécurité, mécontent de la réponse de Microsoft à ses découvertes, a rendu publiques trois vulnérabilités critiques affectant Microsoft Defender. Ces failles, qualifiées de zero-day car non corrigées au moment de leur divulgation, ont rapidement attiré l'attention des acteurs malveillants.

  • BlueHammer (CVE-2026-33825) : Il s'agit de la première faille divulguée, rapidement suivie par les deux autres. Elle a été activement exploitée dès le 10 avril 2026.
  • RedSun et UnDefend : Ces deux autres vulnérabilités ont été exploitées dès le 16 avril 2026, montrant la rapidité avec laquelle les cybercriminels s'emparent de nouvelles opportunités.

L'aspect particulièrement préoccupant est que ces failles permettent potentiellement un accès privilégié, allant jusqu'à l'obtention de droits SYSTEM. Cela signifie qu'un attaquant peut prendre le contrôle total du système compromis.

Le Mode Opératoire des Attaquants

L'analyse menée par Huntress Labs révèle que les attaques exploitant ces Microsoft Defender vulnerabilities ne sont pas, dans un premier temps, particulièrement sophistiquées ou dissimulées. Les attaquants ont opté pour une approche manuelle et directe :

  • Exécution de commandes spécifiques : Les logs montrent l'utilisation de commandes classiques pour l'énumération et la reconnaissance du réseau :

```bash

whoami /priv

cmdkey /list

net group

```

  • Utilisation de noms d'exécutables identiques aux PoC : Les attaquants ont parfois utilisé les noms de fichiers tels que FunnyApp.exe, RedSun.exe, undef.exe, ou encore des variantes comme z.exe. Ceci suggère une exploitation rapide des codes de preuve de concept (PoC) rendus publics.
  • Placement de binaires suspects : Des fichiers exécutables malveillants ont été observés dans des répertoires accessibles en écriture par l'utilisateur.
  • Tunneling et reconnaissance : La présence d'un fichier comme agent.exe, potentiellement un outil de tunneling codé en Go, a été détectée, indiquant des tentatives d'établir des canaux de communication discrets et de poursuivre la reconnaissance post-exploitation.
  • Accès initial via SSL VPN compromis : Dans un cas, un accès initial via un VPN FortiGate semble avoir été la porte d'entrée avant l'exploitation des failles Defender.

Cette stratégie manuelle, bien que moins automatisée, est efficace pour des attaques ciblées, visant des organisations spécifiques où les vulnérabilités ne sont pas encore corrigées.

L'Impact sur la Sécurité Windows

Ces Microsoft Defender zero-day illustrent une faille critique dans la chaîne de sécurité de Windows. Microsoft Defender, censé être une première ligne de défense robuste, devient paradoxalement la cible de ces attaques. Les implications sont majeures :

  • Contournement des défenses natives : L'exploitation de ces failles permet aux attaquants de neutraliser ou de contourner le système de sécurité intégré de Windows.
  • Élévation de privilèges : L'accès SYSTEM obtenu ouvre la voie à toutes sortes d'activations malveillantes : vol de données, déploiement de ransomwares, création de portes dérobées, etc.
  • Risque accru pour les entreprises : Les organisations qui n'appliquent pas rapidement les correctifs ou qui ne surveillent pas activement leurs systèmes sont particulièrement exposées aux cyberattaques exploitant ces faille zero-day.

La rapidité de l'exploitation démontre la nécessité d'une veille de sécurité constante et d'une réactivité sans faille face aux nouvelles menaces.

Correctifs et État Actuel des Vulnérabilités

Il est essentiel de noter l'état des correctifs pour ces vulnérabilités :

  • BlueHammer (CVE-2026-33825) : Un patch security a été intégré aux mises à jour d'avril 2026 pour les différentes versions de Windows. Il est impératif de s'assurer que ces mises à jour sont appliquées.
  • RedSun et UnDefend : À la date des informations, ces deux vulnérabilités n'étaient pas encore corrigées. Cela signifie que les systèmes non patchés restaient exposés.

Le suivi des communications officielles de Microsoft et des rapports de sécurité (comme ceux de Huntress Labs) est indispensable pour rester informé des derniers correctifs disponibles. L'automatisation des mises à jour de sécurité est une pratique que tout sysadmin security devrait avoir en place.

FAQ sur les Vulnérabilités Defender

Pourquoi ces failles sont-elles qualifiées de "zero-day" ?

Elles sont qualifiées de "zero-day" car elles étaient inconnues des éditeurs (Microsoft, dans ce cas) et non corrigées au moment de leur divulgation et de leur exploitation par des acteurs malveillants.

Comment les attaquants obtiennent-ils les codes d'exploitation ?

Dans ce cas précis, le chercheur ayant découvert les failles a lui-même rendu publics des codes de preuve de concept (PoC) sur des plateformes comme GitHub. Ces PoC ont ensuite été récupérés par les cybercriminels.

Quelle est la différence entre BlueHammer, RedSun et UnDefend ?

Il s'agit de trois failles de sécurité distinctes affectant Microsoft Defender. Bien qu'exploitées dans des contextes similaires, elles ont des origines techniques et des mécanismes d'exploitation spécifiques.

Comment un admin peut-il se protéger contre de futures attaques similaires ?

L'adoption de bonnes pratiques est clé : appliquer les correctifs de sécurité sans délai, mettre en place une surveillance proactive des journaux d'événements (logs), segmenter le réseau, et utiliser des solutions de sécurité robustes et à jour.

Ce que j'en retiens

Ces Microsoft Defender zero-day rappellent que la sécurité est un écosystème complexe où aucune solution n'est infaillible. La rapidité d'exploitation de ces brèches par les cybercriminels souligne l'importance critique d'une gestion des correctifs efficace et réactive. En tant que professionnels de l'IT, notre rôle est de rester vigilants, de comprendre les menaces émergentes, et de mettre en œuvre des stratégies de défense multicouches. La surveillance active de vos systèmes et une bonne hygiène de sécurité sont vos meilleurs atouts face à ces IT security risks.