L'agence fédérale américaine de cybersécurité a récemment averti que Microsoft Defender, le logiciel de sécurité intégré aux systèmes Windows, était confronté à une grave vulnérabilité qui a été utilisée dans des attaques de ransomware. La vulnérabilité, identifiée comme CVE-2026-33825 et nommée « BlueHammer », permet à un attaquant authentifié d'élever ses privilèges sur un système affecté. Une fois que l’attaquant a pénétré dans le réseau de l’entreprise ou institutionnel, ce privilège supplémentaire suffit à faire progresser la chaîne d’attaque. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré que cette vulnérabilité avait été exploitée dans des opérations de ransomware, mais n'a pas divulgué d'informations spécifiques sur le groupe d'attaque impliqué.

"BlueHammer" a été publié d'une manière inhabituelle le 2 avril. Un chercheur qui utilise les noms "Chaotic Eclipse" et "Nightmare Eclipse" a divulgué les détails de l'exploit avant que Microsoft ne publie un correctif, invoquant son mécontentement quant à la façon dont Microsoft gère les rapports de vulnérabilité. La divulgation précoce des détails de la vulnérabilité réduit considérablement la fenêtre de préparation dont disposent généralement les défenseurs, permettant aux attaquants potentiels d'essayer rapidement d'exploiter la vulnérabilité avant le déploiement des correctifs.

Microsoft a publié un correctif le 14 avril, indiquant que la vulnérabilité pourrait être utilisée pour élever les privilèges des utilisateurs authentifiés, et a mis à jour l'avis de sécurité officiel plus tard dans le mois, soulignant que la vulnérabilité était « plus susceptible » d'être exploitée, mais aucune attaque réelle n'a été confirmée à ce moment-là. La situation réelle est donnée par une agence de sécurité tierce. La société de sécurité Huntress a signalé que les attaquants exploitaient BlueHammer avant la publication du correctif, le traitant comme une vulnérabilité zero-day.

Le 22 avril, CISA a ajouté CVE-2026-33825 à son catalogue de vulnérabilités exploitées connues (KEV), le marquant comme une faille de sécurité activement exploitée. Dans une mise à jour ultérieure, CISA a précisé que la vulnérabilité avait été exploitée lors d'attaques de ransomware. Cependant, le catalogue KEV ne fournit généralement pas plus de détails lors de la mise à jour des entrées, et les organisations n'émettent pas de notifications indépendantes lorsqu'une vulnérabilité est marquée comme liée à un ransomware. Cette méthode de mise à jour relativement « silencieuse » a également suscité des interrogations chez certains praticiens de la sécurité, et son aide réelle aux équipes de défense de première ligne pour prioriser les réparations de vulnérabilités est limitée.

Ce qui rend BlueHammer spécial n'est pas seulement sa capacité à permettre l'élévation des privilèges, mais également sa présence au sein de Microsoft Defender, un composant de sécurité essentiel. Defender, en tant que logiciel de protection intégré à Windows, s'exécute souvent avec des autorisations plus élevées. Les équipes de sécurité s'appuient sur des autorisations aussi élevées pour gagner en visibilité et en contrôle sur le système. Cependant, cela signifie également qu’une fois qu’une vulnérabilité apparaît dans Defender lui-même, l’impact peut être bien plus important que celui des applications ordinaires. Une fois qu’un attaquant obtient des privilèges plus élevés via BlueHammer, il lui deviendra plus facile de se déplacer latéralement, de déployer un ransomware et d’autres actions.

Il existe encore peu de détails publics sur la manière dont des gangs de ransomwares spécifiques utilisent BlueHammer dans leurs chaînes d'attaque. Le catalogue KEV de CISA manque d'explications détaillées lorsque le statut d'entrée change, et l'agence ne diffuse pas d'avertissements supplémentaires de manière proactive lorsqu'une vulnérabilité est mise à jour pour « pour les attaques de ransomware ». Cette asymétrie de l’information a conduit certains experts en sécurité à penser que les défenseurs ne disposent toujours pas d’un soutien suffisant en matière de renseignement transparent lorsqu’ils formulent des stratégies de remédiation.

Ce manque d’information est comblé en partie par les efforts du secteur privé. La société de renseignement sur les menaces GreyNoise a lancé un outil gratuit pour suivre les modifications apportées au catalogue CISA KEV, y compris lorsque les vulnérabilités sont marquées comme liées à l'exploitation de ransomwares. Il est destiné à aider les équipes de sécurité à détecter plus rapidement les modifications apportées à ces informations critiques et à faciliter des réponses plus rapides en matière de gestion des correctifs et d'évaluation des risques.

La chronologie de BlueHammer reflète un problème de longue date dans la gestion des vulnérabilités logicielles par l'industrie : dans ce cas, les détails de l'exploit ont été publiés avant le correctif et les adversaires ont obtenu un manuel d'attaque opérationnel avant que les défenseurs n'aient accès au correctif ; Même après la publication du correctif, les informations sur les manières spécifiques dont la vulnérabilité était utilisée dans des scénarios d'attaque réels étaient souvent en retard, obligeant les équipes de sécurité à prendre des décisions sans avoir une vision complète.

Pour les organisations de tous types, tous les systèmes sur lesquels aucun correctif n'a été déployé depuis les mises à jour de sécurité Microsoft d'avril peuvent toujours être exposés à des risques dont il a été prouvé qu'ils sont associés aux attaques de ransomwares. Dans des scénarios d’attaque complexes, les attaquants combinent souvent plusieurs moyens techniques. Une fois que de telles vulnérabilités d’élévation de privilèges apparaissent au sein des principaux composants de sécurité, une tentative d’intrusion initialement mineure peut se transformer en un incident de sécurité majeur.