En bref

  • CVE-2026-33825 (BlueHammer) : élévation de privilèges vers SYSTEM dans Microsoft Defender, désormais exploitée activement par des gangs de ransomware selon la CISA
  • Systèmes affectés : Windows 10, Windows 11 et Windows Server avec Microsoft Defender non mis à jour (versions antérieures aux correctifs d'avril 2026)
  • Action urgente : appliquer les mises à jour cumulatives Windows d'avril 2026 — la CISA a mis à jour son entrée KEV en juillet 2026 pour confirmer l'usage dans des attaques ransomware actives

Les faits

La CISA (Cybersecurity and Infrastructure Security Agency) américaine a mis à jour cette semaine l'entrée de la vulnérabilité CVE-2026-33825 dans son catalogue des vulnérabilités exploitées connues (KEV — Known Exploited Vulnerabilities), pour y ajouter une confirmation explicite : la faille est désormais activement utilisée dans des campagnes de ransomware. Surnommée BlueHammer par la communauté de la sécurité offensive, cette vulnérabilité affecte Microsoft Defender — la solution antivirus native de Windows — et permet à un attaquant ayant déjà un accès initial à la machine d'élever ses privilèges jusqu'au niveau SYSTEM, le niveau de droits le plus élevé sur un système Windows.

L'histoire de BlueHammer commence de manière inhabituelle et révélatrice des tensions entre chercheurs et éditeurs. La vulnérabilité a été rendue publique en avril 2026 non pas par Microsoft, mais par un chercheur en sécurité connu sous le pseudonyme "Nightmare Eclipse", en signe de protestation contre la gestion des divulgations de vulnérabilités par le Microsoft Security Response Center (MSRC). Selon le chercheur, Microsoft avait refusé de reconnaître la criticité de la faille et de l'indemniser conformément aux termes initialement promis dans son programme de bug bounty. "Nightmare Eclipse" a donc publié à la fois les détails techniques complets de la faille et un proof-of-concept (PoC) fonctionnel, rendant immédiatement disponible un exploit opérationnel pour n'importe quel acteur malveillant capable de l'adapter.

Sur le plan technique, CVE-2026-33825 exploite une "insufficient granularity of access control" — une granularité insuffisante des contrôles d'accès dans un composant interne de Microsoft Defender. La vulnérabilité se manifeste lorsque le composant vulnérable exécute certaines opérations privilégiées sans vérifier correctement les permissions de l'entité demandeuse. Un processus ou utilisateur standard peut déclencher ces opérations de manière à obtenir l'élévation vers le niveau SYSTEM. Cette technique d'élévation de privilèges est extrêmement prisée des groupes de ransomware car elle leur permet, une fois sur la machine cible, de désactiver les protections antivirus et EDR, de modifier des clés de registre système protégées, d'installer des services persistants invisibles aux comptes standards, et d'effectuer des mouvements latéraux dans l'environnement compromis avec des droits maximaux.

La CISA avait initialement ajouté CVE-2026-33825 à son catalogue KEV le 22 avril 2026, à peine quelques jours après la divulgation publique par "Nightmare Eclipse", imposant aux agences fédérales américaines (FCEB — Federal Civilian Executive Branch) de corriger leurs systèmes avant le 7 mai 2026. À l'époque, l'exploitation était confirmée comme un zero-day — la faille avait été utilisée par des acteurs avancés avant même que Microsoft ne publie un correctif officiel. Des attributions initiales pointaient vers des acteurs étatiques ciblant des individus à haute valeur dans des campagnes d'espionnage ciblées.

La mise à jour de l'entrée KEV en juillet 2026 représente une escalade qualitative significative. La transition d'une exploitation ciblée (acteurs étatiques, cibles spécifiques) vers une exploitation par des gangs de ransomware opérant en mode Ransomware-as-a-Service (RaaS) signifie que BlueHammer est maintenant dans l'arsenal standardisé d'attaquants aux motivations purement financières, ciblant des organisations de toutes tailles indistinctement. SecurityWeek et Security Affairs ont documenté des incidents où BlueHammer a été utilisé comme étape d'élévation de privilèges après un accès initial obtenu via phishing, exploitation d'un service VPN ou d'un serveur RDP exposé.

Le schéma d'attaque typique observé dans les incidents récents impliquant BlueHammer suit une kill chain en plusieurs étapes. L'attaquant obtient un accès initial via une campagne de phishing ciblée, l'exploitation d'un service exposé (VPN, RDP, serveur Exchange), ou via un accès Initial Access Broker (IAB). Une fois à l'intérieur du réseau avec des droits limités (utilisateur standard), il utilise CVE-2026-33825 pour élever ses privilèges à SYSTEM sur la machine compromise. Avec cet accès SYSTEM, le ransomware peut désactiver Microsoft Defender lui-même, exfiltrer des identifiants depuis LSA et SAM, déployer des outils de mouvement latéral, et finalement déployer le payload de chiffrement avec les droits nécessaires pour verrouiller tous les fichiers accessibles, y compris les partages réseau montés.

Microsoft Defender représente la couche de protection principale de centaines de millions de systèmes Windows dans le monde. Le paradoxe de BlueHammer est particulièrement pervers : la vulnérabilité réside précisément dans le composant censé protéger les systèmes, et son exploitation aboutit à la neutralisation totale de cette protection. Pour les organisations qui s'appuient sur Defender comme unique couche de défense endpoint — notamment les PME sans budget pour des solutions EDR tierces avancées — CVE-2026-33825 représente une menace existentielle pour leur posture de sécurité complète.

Microsoft a finalement publié un correctif pour BlueHammer dans les mises à jour cumulatives d'avril 2026, après avoir initialement minimisé la sévérité de la vulnérabilité dans ses communications publiques. La chronologie entre la divulgation, la réaction Microsoft et l'intégration dans des campagnes ransomware illustre parfaitement les risques des divulgations publiques sans coordination préalable avec l'éditeur — un débat éthique toujours actif dans la communauté de la sécurité offensive. La confirmation CISA de juillet 2026 démontre que les correctifs, bien que disponibles depuis avril, n'ont pas été appliqués par un nombre significatif d'organisations.

Impact et exposition

L'impact de CVE-2026-33825 est amplifié par l'omniprésence de Microsoft Defender. Contrairement aux vulnérabilités affectant des logiciels tiers optionnels, Defender est activé par défaut sur tous les systèmes Windows 10 et Windows 11, ainsi que sur Windows Server 2019 et 2022. Les organisations qui ont remplacé Defender par une solution EDR tierce (CrowdStrike, SentinelOne, Palo Alto Cortex) ne sont pas affectées par CVE-2026-33825 spécifiquement, mais la grande majorité des PME et des organisations publiques utilisent Defender comme solution principale ou en complément d'autres outils.

La phase d'exploitation par des ransomwares représente un changement qualitatif dans la menace. Les ransomwares opérant en mode RaaS partagent leurs outils et techniques avec des affiliés moins sophistiqués via des marketplaces clandestins, ce qui signifie que BlueHammer est maintenant accessible à des attaquants qui n'auraient pas été capables de développer eux-mêmes cet exploit. Security Affairs a documenté des incidents dans des secteurs variés incluant des collectivités locales, des cabinets d'avocats et des établissements de santé en France et en Europe.

Les systèmes les plus à risque sont ceux qui ne reçoivent pas automatiquement les mises à jour Windows Defender : serveurs en environnement isolé ou semi-isolé avec accès Internet restreint, systèmes avec politiques WSUS restrictives bloquant les mises à jour de Defender, machines sous Windows 10 dont les administrateurs ont désactivé les mises à jour automatiques pour des raisons de stabilité. Ces systèmes restent vulnérables à BlueHammer même si Microsoft a publié les correctifs depuis avril 2026.

Recommandations immédiates

  • Vérifier et appliquer les mises à jour cumulatives Windows d'avril 2026 (KB5036893 pour Windows 11, KB5036892 pour Windows 10) incluant le correctif de CVE-2026-33825 — Microsoft Security Update Guide, advisory CVE-2026-33825
  • S'assurer que la version engine de Microsoft Defender est à jour en forçant une mise à jour des signatures via Windows Update, ou via la commande PowerShell : Update-MpSignature depuis un terminal administrateur
  • Pour les environnements avec WSUS : vérifier que les mises à jour de définitions Defender sont approuvées et distribuées — certaines configurations WSUS bloquent par défaut les mises à jour de composants de sécurité
  • Si l'application du patch est impossible à court terme : implémenter une détection des tentatives d'élévation de privilèges anormales via les règles SIEM sur les Event ID Windows 4688 (création de processus) et 4672 (attribution de privilèges spéciaux)
  • Investiguer les systèmes ayant montré des comportements anormaux de Defender (désactivation inattendue, exclusions ajoutées sans action administrateur documentée) comme indicateurs potentiels de compromission via BlueHammer

⚠️ Exploitation active par ransomwares confirmée

La CISA a confirmé en juillet 2026 que CVE-2026-33825 (BlueHammer) est exploitée par des gangs de ransomware pour élever leurs privilèges à SYSTEM et neutraliser Microsoft Defender. Toute organisation n'ayant pas appliqué les mises à jour Windows cumulatives d'avril 2026 doit considérer ses endpoints comme vulnérables à une compromission complète et une attaque ransomware potentielle.

Comment savoir si je suis vulnérable ?

Dans PowerShell avec des droits administrateur, exécutez : Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion, AMServiceEnabled. Comparez la version AMEngineVersion avec les versions publiées par Microsoft dans son bulletin Security Update Guide pour CVE-2026-33825. Pour vérifier à grande échelle via Intune ou SCCM, recherchez les systèmes n'ayant pas installé les KB d'avril 2026. Sur Windows Server, vérifiez via : Get-HotFix | Where-Object {$_.HotFixID -like "KB5036*"} pour confirmer l'installation des mises à jour cumulatives d'avril 2026.

Votre parc Windows est-il protégé contre BlueHammer ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit