CVE-2026-33825 BlueHammer : race condition TOCTOU dans Microsoft Defender exploitée en zero-day depuis le 10 avril 2026. Élévation locale à SYSTEM, PoC publique, divulgation sauvage par un chercheur frustré.
En bref
- CVE-2026-33825 (CVSS 7.8) — race condition TOCTOU dans Microsoft Defender, escalade locale à SYSTEM
- Exploitation in-the-wild depuis le 10 avril 2026 ; PoC publique disponible sur GitHub
- Trois 0-days Defender (BlueHammer, RedSun, UnDefend) divulgués par un chercheur frustré ; deux encore non corrigés
Les faits
CISA a ajouté CVE-2026-33825 à son catalogue Known Exploited Vulnerabilities fin avril 2026, imposant aux agences fédérales américaines un patching au 6 mai. La faille, surnommée BlueHammer par le chercheur qui l'a divulguée, affecte le mécanisme de mise à jour des signatures de Microsoft Defender, le composant antivirus intégré à Windows. Microsoft a publié le correctif lors du Patch Tuesday du 14 avril 2026, mais l'exploitation in-the-wild a démarré dès le 10 avril, soit avant la disponibilité du patch.
Techniquement, BlueHammer est une vulnérabilité de race condition TOCTOU (Time-of-Check to Time-of-Use) dans la séquence de mise à jour des signatures de Defender. Le service MsMpEng (Microsoft Malware Protection Engine) tourne avec les privilèges SYSTEM. Lorsqu'il télécharge et applique un fichier de signatures, il vérifie la signature numérique du fichier dans un répertoire temporaire (le check), puis ouvre le fichier pour le copier vers le répertoire opérationnel (le use). Entre ces deux étapes, un attaquant local non privilégié peut substituer le fichier vérifié par un fichier malveillant, qui sera alors traité avec les privilèges SYSTEM par MsMpEng. Le résultat est une élévation de privilèges du compte utilisateur standard à SYSTEM, donc contrôle total du poste.
Le score CVSS de 7.8 reflète l'attaque locale et l'absence d'interaction utilisateur, mais sous-estime l'impact opérationnel : Defender étant activé par défaut sur 100% des postes Windows 10, 11 et Server modernes, le périmètre est universel. Tout attaquant ayant un foothold initial sur un poste Windows — via phishing, malware drive-by, accès RDP volé — peut élever ses privilèges à SYSTEM en quelques secondes avec la PoC publique. C'est un building block d'escalade dont les opérateurs ransomware raffolent.
La chronologie de divulgation est l'angle le plus inhabituel de cette histoire. Un chercheur indépendant connu sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse a publié BlueHammer le 2 avril 2026 sur son dépôt GitHub, accompagné d'un PoC fonctionnel et d'une notice expliquant qu'il agissait par frustration face à la gestion des bugs par Microsoft. Selon ses déclarations, plusieurs rapports de sécurité antérieurs auraient été classés sans suite ou minorés par le MSRC (Microsoft Security Response Center). Il a publié BlueHammer comme un avertissement, et le 17 avril il a doublé la mise en divulguant deux autres zero-days Defender — RedSun et UnDefend — qu'il a maintenus en exposition publique en attendant des correctifs.
Microsoft a corrigé BlueHammer dans le Patch Tuesday du 14 avril mais n'a pas encore publié de correctif pour RedSun (élévation de privilèges via manipulation des règles d'exclusion) ni pour UnDefend (déni de service du moteur Defender lui-même). Les deux failles restent exploitables sur les systèmes à jour à la date de publication. CISA a indiqué que des exploitations actives de RedSun ont été observées dès le 22 avril, bien que la faille ne figure pas encore au KEV catalogue à la date de cet article.
Côté détection, BlueHammer laisse peu de traces évidentes dans les journaux Windows standards. La race condition est exploitée par un binaire de l'attaquant qui surveille en temps réel le répertoire d'update de Defender (typiquement %ProgramData%\Microsoft\Windows Defender\Definition Updates) pour faire la substitution. Les EDR avancés (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint en mode passive) peuvent détecter le pattern de création/suppression de fichiers à fréquence anormale dans ce répertoire, mais peu d'organisations ont aujourd'hui une règle de détection spécifique à ce vecteur.
L'affaire pose plusieurs questions inconfortables. D'abord sur la posture du MSRC face aux divulgations responsables : si plusieurs chercheurs sérieux signalent une dérive dans les délais ou la qualité de réponse, c'est un signal qu'il faut traiter au-delà de la communication. Ensuite sur l'écosystème lui-même : un acteur unique a, en moins d'un mois, exposé trois 0-days Defender exploitables, et l'industrie a observé une exploitation immédiate par des opérateurs ransomware et APT. La barre d'entrée pour un opérateur est désormais : checker GitHub.
Sur le terrain français, le CERT-FR a relayé l'avis Microsoft et insisté sur la nécessité d'appliquer les mises à jour cumulatives d'avril 2026 sur l'ensemble du parc Windows, en particulier sur les serveurs de fichiers, contrôleurs de domaine et postes administratifs où une élévation à SYSTEM ouvre des chemins de latéralisation directe.
Impact et exposition
Le périmètre couvre tout Windows 10, Windows 11, Windows Server 2019/2022/2025 avec Microsoft Defender activé (configuration par défaut). Les conditions d'exploitation requièrent un accès local préalable au système, ce qui dans une chaîne d'attaque réelle est trivialement obtenu via phishing, exploitation web ou identifiants volés. Le vecteur est universel : aucun environnement n'est sécurisé tant que les patches d'avril 2026 ne sont pas appliqués sur l'ensemble du parc. Les organisations utilisant Defender for Endpoint en mode actif sont particulièrement exposées car le service MsMpEng y est constamment sollicité pour des updates de signatures.
Recommandations
- Appliquer les mises à jour cumulatives Windows d'avril 2026 sur l'ensemble du parc — postes utilisateurs, serveurs, machines virtuelles, images golden
- Vérifier que le service Microsoft Defender Antivirus est à la version 4.18.26040.x ou supérieure (Get-MpComputerStatus)
- Pour les zero-days RedSun et UnDefend non encore patchés : surveiller les avis Microsoft à venir, et durcir les règles d'exclusion Defender (les attaquants exploitent ces règles pour planter des binaires hors scan)
- Activer la journalisation EDR sur les modifications dans %ProgramData%\Microsoft\Windows Defender\Definition Updates et alerter sur les patterns de race condition
- Limiter les comptes administrateurs locaux : une élévation BlueHammer depuis un compte standard ne mène à rien si l'utilisateur n'a déjà pas accès à des secrets sensibles localement
- Passer en revue les règles d'exclusion Defender : les attaquants en exploitation post-élévation utilisent ces zones aveugles pour persister
Alerte critique
Avec PoC publique disponible depuis le 2 avril et exploitation in-the-wild documentée depuis le 10 avril, BlueHammer est désormais intégré à de multiples kits d'escalade locale utilisés par les opérateurs ransomware. Tout poste Windows non patché à la date de cet article doit être considéré comme exposé à une élévation SYSTEM triviale en cas de compromission initiale.
BlueHammer affecte-t-il les organisations qui utilisent un autre antivirus que Defender ?
Oui, partiellement. Même si vous déployez un autre antivirus (CrowdStrike, SentinelOne, Trend Micro), le service Microsoft Defender reste présent sur Windows en mode passive. Le composant MsMpEng tourne et reçoit toujours des mises à jour de signatures, donc le vecteur TOCTOU reste exploitable tant que Defender n'est pas désactivé via stratégie de groupe (DisableAntiSpyware), ce qui n'est plus possible sur Windows 11 sans configuration spécifique. La seule réponse fiable reste le patch.
Comment se positionner face à un chercheur qui pratique la divulgation sauvage ?
Du point de vue défensif, il faut traiter la divulgation publique comme un fait : la PoC existe, elle est utilisée, le seul levier est le patch et le durcissement. Du point de vue stratégique, c'est un signal sur la maturité de la relation entre l'éditeur et la communauté de chercheurs : si plusieurs chercheurs sérieux jugent que les programmes de divulgation responsable ne fonctionnent plus, on peut s'attendre à plus de divulgations sauvages dans les mois qui viennent. C'est un risque opérationnel à intégrer dans la planification des patches.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0073 : Android frappé par un zero-click RCE via ADB sans fil
Google publie le 5 mai un correctif critique pour CVE-2026-0073, faille zero-click dans l'ADB sans fil d'Android. Score 9.8, versions 14 à 16 QPR2 concernées.
Google Cloud Next 26 : Gemini Enterprise et identités d'agents en GA
Google lance Gemini Enterprise Agent Platform avec Agent Identity, Agent Gateway et Model Armor. 750 M$ de fonds partenaires et support multi-modèles annoncés à Next 26.
Trellix piraté : le cyberdéfenseur perd un bout de son code source
Trellix, héritier de McAfee Enterprise et FireEye, confirme le piratage d'une portion de son dépôt de code source. 50 000 clients et 200 millions d'endpoints sont concernés.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire