En bref

  • Trois zero-days Defender exploités activement depuis le 10 avril, dont deux toujours sans patch au 17 avril 2026.
  • RedSun permet une élévation de privilèges vers SYSTEM ; UnDefend bloque les mises à jour de signatures Defender.
  • Huntress confirme l'exploitation in the wild — les équipes Windows doivent durcir Defender sans attendre.

Ce qui s'est passé

Entre le 10 et le 16 avril 2026, trois failles zero-day visant Microsoft Defender ont été divulguées et exploitées dans la foulée. La première, surnommée BlueHammer et identifiée comme CVE-2026-33825, a été corrigée lors du Patch Tuesday d'avril. Les deux suivantes, RedSun et UnDefend, ont été publiées par le même chercheur — signant sous l'alias « Chaotic Eclipse » — en représailles à ce qu'il décrit comme un traitement méprisant de la part du MSRC de Microsoft.

RedSun exploite le mécanisme de restauration cloud de Defender : lorsque l'antivirus détecte un fichier cloud-tagged, il tente de le rétablir à son emplacement d'origine sans valider le chemin cible. Un attaquant local peut détourner cette opération d'écriture vers un répertoire privilégié, puis charger sa propre DLL exécutée avec les droits SYSTEM. UnDefend, de son côté, intercepte le canal de mise à jour des signatures et provoque un déni de service permanent sur le téléchargement des définitions : Defender continue de tourner, mais sans protection actualisée.

Huntress, qui surveille ces signatures sur son parc client, confirme avoir vu RedSun et UnDefend utilisés dans des attaques réelles dès le 16 avril. Microsoft n'a pas encore publié de correctif pour ces deux failles, et aucun avis MSRC ne mentionne un calendrier de patch out-of-band.

Pourquoi c'est important

Defender est l'EDR par défaut sur plus de 1,4 milliard de machines Windows. Lorsqu'un chercheur publie un zero-day de privilèges SYSTEM actif, la fenêtre entre divulgation et exploitation massive se compte en heures, pas en jours. Le combo RedSun + UnDefend est particulièrement toxique : le premier fournit la persistance privilégiée, le second garantit que les détections futures n'arriveront jamais. C'est exactement le type d'enchaînement que recherchent les opérateurs de ransomware pour passer de l'accès initial à l'encryption.

Pour les DSI, cela implique une réévaluation immédiate des contrôles compensatoires : Application Control (WDAC), règles ASR, Credential Guard. Et surtout, ne pas compter sur les définitions Defender pour protéger contre ce vecteur tant que Microsoft n'aura pas publié de correctif.

Ce qu'il faut retenir

  • BlueHammer (CVE-2026-33825) est patché depuis le Patch Tuesday d'avril — appliquer la mise à jour de sécurité en priorité si ce n'est pas fait.
  • RedSun et UnDefend n'ont aucun correctif : durcir les politiques ASR, surveiller les écritures dans %ProgramData%\Microsoft\Windows Defender\Platform et tout arrêt soudain de mise à jour de signatures.
  • Un EDR tiers en couche secondaire (ou Defender for Endpoint configuré en mode complémentaire) limite le risque que UnDefend laisse un poste aveugle.

Faut-il désactiver Microsoft Defender en attendant le patch ?

Non. Désactiver Defender retirerait les protections existantes sans atténuer RedSun, qui exige déjà un accès local. Privilégiez les règles ASR, WDAC et la surveillance des mises à jour de signatures : un poste qui cesse soudainement de recevoir des définitions est le principal indicateur qu'UnDefend est actif.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact