BlueHammer : zero-day Windows Defender exploité

Les faits

Le 3 avril 2026, un chercheur en sécurité opérant sous le pseudonyme Nightmare-Eclipse a publié sur GitHub un exploit fonctionnel baptisé BlueHammer. Ce proof-of-concept cible une vulnérabilité zero-day dans le mécanisme de mise à jour des signatures de Windows Defender Antivirus. Aucun identifiant CVE n'a encore été attribué par Microsoft à cette faille, malgré la publication du code d'exploitation. Le chercheur a indiqué avoir divulgué la vulnérabilité de manière responsable au Microsoft Security Response Center (MSRC), mais affirme que la gestion du processus de divulgation l'a conduit à publier l'exploit par frustration.

Techniquement, BlueHammer exploite une condition de course TOCTOU (Time-of-Check to Time-of-Use) combinée à une confusion de chemin dans le processus de mise à jour des définitions de Defender. L'exploit cible spécifiquement l'interface RPC interne IMpService et l'appel ServerMpUpdateEngineSignature, détournant le flux de mise à jour plutôt que le moteur d'analyse lui-même. Le résultat permet d'accéder à la base SAM (Security Account Manager) contenant les hashes NTLM des comptes locaux.

D'après les analyses publiées par des chercheurs indépendants, l'exploit parvient à écraser temporairement le mot de passe d'un compte administrateur local, à s'authentifier via LogonUserEx, puis à créer et démarrer un service Windows pour atteindre une exécution SYSTEM complète. Sur Windows Server, l'élévation se limite à un privilège administrateur élevé sans atteindre SYSTEM.

Impact et exposition

Toute machine Windows exécutant Windows Defender avec les mises à jour de signatures actives est potentiellement vulnérable. Cela inclut les postes de travail Windows 10 et 11, ainsi que les serveurs Windows Server 2016, 2019, 2022 et 2025. La surface d'attaque est massive puisque Defender est activé par défaut sur toutes les installations Windows modernes. L'exploitation nécessite un accès local à la machine, ce qui limite le vecteur d'attaque initial mais rend la faille particulièrement dangereuse dans les scénarios de post-exploitation et de mouvement latéral.

L'exploit n'est pas fiable à 100 % selon son auteur, mais fonctionne suffisamment bien pour constituer une menace crédible. La publication du code source complet sur GitHub rend cette vulnérabilité accessible à un large éventail d'attaquants, y compris des groupes moins sophistiqués. Plusieurs équipes de threat intelligence ont confirmé des tentatives d'intégration de BlueHammer dans des frameworks d'attaque existants depuis sa publication.

Recommandations immédiates

• Surveiller les accès anormaux au fichier SAM et les créations suspectes de services Windows via les journaux d'événements (Event ID 7045)
• Restreindre les privilèges locaux et appliquer le principe du moindre privilège sur tous les postes et serveurs
• Déployer les règles Sigma et YARA publiées par la communauté (référentiel BlueHammerFix sur GitHub) pour détecter les tentatives d'exploitation
• Activer la protection renforcée contre les falsifications (Tamper Protection) dans Windows Security Center
• Monitorer les appels RPC vers l'interface IMpService via les solutions EDR déployées
• Appliquer le patch Microsoft dès sa publication — aucun correctif officiel n'est disponible à ce jour