Ces vulnérabilités ont été révélées au début du mois après qu’un chercheur, connu sous le nom de « Chaotic Eclipse » ou « Nightmare-Eclipse », a publié un code de preuve de concept. Cette publication faisait suite à son mécontentement quant à la manière dont le Microsoft Security Response Center (MSRC) avait traité le signalement. Comme aucun correctif n’était encore disponible à ce moment-là, ces failles ont été qualifiées de « zero-day ».
Les attaquants ciblent Defender et les droits système
Sur les trois vulnérabilités, deux ciblent Microsoft Defender et permettent une élévation de privilèges. En d’autres termes : un attaquant peut s’octroyer des droits supplémentaires et passer ainsi du statut d’utilisateur standard à celui d’administrateur, voire au niveau SYSTEM. La troisième vulnérabilité permet de désactiver les mises à jour de Defender, ce qui rend les systèmes moins bien protégés contre les nouvelles menaces.
Selon les chercheurs de Huntress Labs, ces trois exploits sont désormais tous exploités. L’une des failles, connue sous le nom de BlueHammer, serait déjà activement utilisée depuis le 10 avril. Dans d’autres cas, les chercheurs ont constaté que des attaquants pénétraient dans les systèmes via un accès VPN compromis, puis y effectuaient manuellement d’autres actions.
Toutes les failles ne sont pas encore corrigées
Microsoft a entre-temps corrigé l’une des vulnérabilités, BlueHammer, via les mises à jour d’avril et l’a enregistrée sous le numéro CVE-2026-33825. Les deux autres failles, RedSun et UnDefend, ne sont toutefois pas encore entièrement résolues à l’heure actuelle. RedSun est particulièrement préoccupante. Cet exploit peut encore être exploité, même sur des systèmes entièrement mis à jour, pour obtenir des droits système, tant que Defender est actif. L’attaque exploite un comportement inattendu du logiciel antivirus, qui réécrit les fichiers suspects d’une manière permettant l’exploitation.
Microsoft indique qu’il examine les signalements et souligne l’importance d’un signalement coordonné des vulnérabilités. Cette situation montre toutefois une nouvelle fois à quelle vitesse un code d’exploitation publié peut déboucher sur de véritables attaques, surtout lorsque les correctifs font encore défaut. Pour les utilisateurs et les administrateurs informatiques, cela signifie avant tout que la vigilance reste cruciale. L’installation de mises à jour aide, mais tant que toutes les failles ne sont pas corrigées, un risque réel persiste.
