Il ne s’agit donc pas d’une faille permettant de pirater un ordinateur à distance sans autre forme de procès. Les pirates doivent d’abord obtenir un accès, par exemple via une attaque de phishing, des identifiants volés ou d’autres logiciels malveillants. Mais une fois qu’ils sont entrés, cette vulnérabilité peut faire la différence entre un accès limité et un contrôle total sur un système.
Contrôle au niveau SYSTEM sous
Windows
La faille se trouve dans Microsoft Defender et concerne un problème de contrôle d’accès. Elle permet à un utilisateur local d’élever ses privilèges au niveau SYSTEM, le niveau de privilèges le plus élevé sous Windows, explique Microsoft. Forts de ces privilèges, les attaquants peuvent intervenir en profondeur dans le système. Les chercheurs avertissent que, dans certains cas, la base de données Security Account Manager (SAM) peut également être lue. Celle-ci contient notamment les hachages de mots de passe des comptes locaux.
Pour les groupes de ransomware, cela constitue une étape importante : ils peuvent désactiver les logiciels de sécurité, se déplacer au sein d’un réseau et, finalement, chiffrer les systèmes.
BlueHammer exploité avant même la publication du correctif
Selon plusieurs chercheurs en sécurité, dont Huntress Labs, la vulnérabilité avait déjà été exploitée avant même que Microsoft ne publie un correctif en avril. Ces attaques impliquaient des techniques actives de type « hands-on-keyboard », dans lesquelles les attaquants exploraient eux-mêmes le système et effectuaient des actions. De plus, la fuite d’un code de preuve de concept a permis aux chercheurs comme aux acteurs malveillants de repérer plus rapidement cette faille. Ces fuites auraient par ailleurs contribué aux premières tentatives d’exploitation.
L’agence gouvernementale américaine CISA (Cybersecurity and Infrastructure Security Agency) a entre-temps ajouté CVE-2026-33825 à sa liste des vulnérabilités activement exploitées. L’agence avertit que des campagnes de ransomware sont actuellement en cours et exploitent cette faille pour intensifier leurs attaques. Microsoft a déjà corrigé le problème dans la mise à jour « Patch Tuesday » d’avril 2026, mais n’a pas encore confirmé officiellement que la faille avait été utilisée dans des campagnes de ransomware.
Pour les organisations qui ont reporté leurs mises à jour, il s’agit là d’un avertissement clair : une vulnérabilité locale peut, dans la pratique, suffire à faire dégénérer une intrusion limitée en une prise de contrôle totale du réseau.
