CVE-2026-33825 (BlueHammer), faille d'élévation de privilèges dans Microsoft Defender, est désormais exploitée par des gangs de ransomware selon la CISA. Mise à jour Windows d'avril 2026 requise.
En bref
- CVE-2026-33825 (BlueHammer) : élévation de privilèges vers SYSTEM dans Microsoft Defender, désormais exploitée activement par des gangs de ransomware selon la CISA
- Systèmes affectés : Windows 10, Windows 11 et Windows Server avec Microsoft Defender non mis à jour (versions antérieures aux correctifs d'avril 2026)
- Action urgente : appliquer les mises à jour cumulatives Windows d'avril 2026 — la CISA a mis à jour son entrée KEV en juillet 2026 pour confirmer l'usage dans des attaques ransomware actives
Les faits
La CISA (Cybersecurity and Infrastructure Security Agency) américaine a mis à jour cette semaine l'entrée de la vulnérabilité CVE-2026-33825 dans son catalogue des vulnérabilités exploitées connues (KEV — Known Exploited Vulnerabilities), pour y ajouter une confirmation explicite : la faille est désormais activement utilisée dans des campagnes de ransomware. Surnommée BlueHammer par la communauté de la sécurité offensive, cette vulnérabilité affecte Microsoft Defender — la solution antivirus native de Windows — et permet à un attaquant ayant déjà un accès initial à la machine d'élever ses privilèges jusqu'au niveau SYSTEM, le niveau de droits le plus élevé sur un système Windows.
L'histoire de BlueHammer commence de manière inhabituelle et révélatrice des tensions entre chercheurs et éditeurs. La vulnérabilité a été rendue publique en avril 2026 non pas par Microsoft, mais par un chercheur en sécurité connu sous le pseudonyme "Nightmare Eclipse", en signe de protestation contre la gestion des divulgations de vulnérabilités par le Microsoft Security Response Center (MSRC). Selon le chercheur, Microsoft avait refusé de reconnaître la criticité de la faille et de l'indemniser conformément aux termes initialement promis dans son programme de bug bounty. "Nightmare Eclipse" a donc publié à la fois les détails techniques complets de la faille et un proof-of-concept (PoC) fonctionnel, rendant immédiatement disponible un exploit opérationnel pour n'importe quel acteur malveillant capable de l'adapter.
Sur le plan technique, CVE-2026-33825 exploite une "insufficient granularity of access control" — une granularité insuffisante des contrôles d'accès dans un composant interne de Microsoft Defender. La vulnérabilité se manifeste lorsque le composant vulnérable exécute certaines opérations privilégiées sans vérifier correctement les permissions de l'entité demandeuse. Un processus ou utilisateur standard peut déclencher ces opérations de manière à obtenir l'élévation vers le niveau SYSTEM. Cette technique d'élévation de privilèges est extrêmement prisée des groupes de ransomware car elle leur permet, une fois sur la machine cible, de désactiver les protections antivirus et EDR, de modifier des clés de registre système protégées, d'installer des services persistants invisibles aux comptes standards, et d'effectuer des mouvements latéraux dans l'environnement compromis avec des droits maximaux.
La CISA avait initialement ajouté CVE-2026-33825 à son catalogue KEV le 22 avril 2026, à peine quelques jours après la divulgation publique par "Nightmare Eclipse", imposant aux agences fédérales américaines (FCEB — Federal Civilian Executive Branch) de corriger leurs systèmes avant le 7 mai 2026. À l'époque, l'exploitation était confirmée comme un zero-day — la faille avait été utilisée par des acteurs avancés avant même que Microsoft ne publie un correctif officiel. Des attributions initiales pointaient vers des acteurs étatiques ciblant des individus à haute valeur dans des campagnes d'espionnage ciblées.
La mise à jour de l'entrée KEV en juillet 2026 représente une escalade qualitative significative. La transition d'une exploitation ciblée (acteurs étatiques, cibles spécifiques) vers une exploitation par des gangs de ransomware opérant en mode Ransomware-as-a-Service (RaaS) signifie que BlueHammer est maintenant dans l'arsenal standardisé d'attaquants aux motivations purement financières, ciblant des organisations de toutes tailles indistinctement. SecurityWeek et Security Affairs ont documenté des incidents où BlueHammer a été utilisé comme étape d'élévation de privilèges après un accès initial obtenu via phishing, exploitation d'un service VPN ou d'un serveur RDP exposé.
Le schéma d'attaque typique observé dans les incidents récents impliquant BlueHammer suit une kill chain en plusieurs étapes. L'attaquant obtient un accès initial via une campagne de phishing ciblée, l'exploitation d'un service exposé (VPN, RDP, serveur Exchange), ou via un accès Initial Access Broker (IAB). Une fois à l'intérieur du réseau avec des droits limités (utilisateur standard), il utilise CVE-2026-33825 pour élever ses privilèges à SYSTEM sur la machine compromise. Avec cet accès SYSTEM, le ransomware peut désactiver Microsoft Defender lui-même, exfiltrer des identifiants depuis LSA et SAM, déployer des outils de mouvement latéral, et finalement déployer le payload de chiffrement avec les droits nécessaires pour verrouiller tous les fichiers accessibles, y compris les partages réseau montés.
Microsoft Defender représente la couche de protection principale de centaines de millions de systèmes Windows dans le monde. Le paradoxe de BlueHammer est particulièrement pervers : la vulnérabilité réside précisément dans le composant censé protéger les systèmes, et son exploitation aboutit à la neutralisation totale de cette protection. Pour les organisations qui s'appuient sur Defender comme unique couche de défense endpoint — notamment les PME sans budget pour des solutions EDR tierces avancées — CVE-2026-33825 représente une menace existentielle pour leur posture de sécurité complète.
Microsoft a finalement publié un correctif pour BlueHammer dans les mises à jour cumulatives d'avril 2026, après avoir initialement minimisé la sévérité de la vulnérabilité dans ses communications publiques. La chronologie entre la divulgation, la réaction Microsoft et l'intégration dans des campagnes ransomware illustre parfaitement les risques des divulgations publiques sans coordination préalable avec l'éditeur — un débat éthique toujours actif dans la communauté de la sécurité offensive. La confirmation CISA de juillet 2026 démontre que les correctifs, bien que disponibles depuis avril, n'ont pas été appliqués par un nombre significatif d'organisations.
Impact et exposition
L'impact de CVE-2026-33825 est amplifié par l'omniprésence de Microsoft Defender. Contrairement aux vulnérabilités affectant des logiciels tiers optionnels, Defender est activé par défaut sur tous les systèmes Windows 10 et Windows 11, ainsi que sur Windows Server 2019 et 2022. Les organisations qui ont remplacé Defender par une solution EDR tierce (CrowdStrike, SentinelOne, Palo Alto Cortex) ne sont pas affectées par CVE-2026-33825 spécifiquement, mais la grande majorité des PME et des organisations publiques utilisent Defender comme solution principale ou en complément d'autres outils.
La phase d'exploitation par des ransomwares représente un changement qualitatif dans la menace. Les ransomwares opérant en mode RaaS partagent leurs outils et techniques avec des affiliés moins sophistiqués via des marketplaces clandestins, ce qui signifie que BlueHammer est maintenant accessible à des attaquants qui n'auraient pas été capables de développer eux-mêmes cet exploit. Security Affairs a documenté des incidents dans des secteurs variés incluant des collectivités locales, des cabinets d'avocats et des établissements de santé en France et en Europe.
Les systèmes les plus à risque sont ceux qui ne reçoivent pas automatiquement les mises à jour Windows Defender : serveurs en environnement isolé ou semi-isolé avec accès Internet restreint, systèmes avec politiques WSUS restrictives bloquant les mises à jour de Defender, machines sous Windows 10 dont les administrateurs ont désactivé les mises à jour automatiques pour des raisons de stabilité. Ces systèmes restent vulnérables à BlueHammer même si Microsoft a publié les correctifs depuis avril 2026.
Recommandations immédiates
- Vérifier et appliquer les mises à jour cumulatives Windows d'avril 2026 (KB5036893 pour Windows 11, KB5036892 pour Windows 10) incluant le correctif de CVE-2026-33825 — Microsoft Security Update Guide, advisory CVE-2026-33825
- S'assurer que la version engine de Microsoft Defender est à jour en forçant une mise à jour des signatures via Windows Update, ou via la commande PowerShell :
Update-MpSignaturedepuis un terminal administrateur - Pour les environnements avec WSUS : vérifier que les mises à jour de définitions Defender sont approuvées et distribuées — certaines configurations WSUS bloquent par défaut les mises à jour de composants de sécurité
- Si l'application du patch est impossible à court terme : implémenter une détection des tentatives d'élévation de privilèges anormales via les règles SIEM sur les Event ID Windows 4688 (création de processus) et 4672 (attribution de privilèges spéciaux)
- Investiguer les systèmes ayant montré des comportements anormaux de Defender (désactivation inattendue, exclusions ajoutées sans action administrateur documentée) comme indicateurs potentiels de compromission via BlueHammer
⚠️ Exploitation active par ransomwares confirmée
La CISA a confirmé en juillet 2026 que CVE-2026-33825 (BlueHammer) est exploitée par des gangs de ransomware pour élever leurs privilèges à SYSTEM et neutraliser Microsoft Defender. Toute organisation n'ayant pas appliqué les mises à jour Windows cumulatives d'avril 2026 doit considérer ses endpoints comme vulnérables à une compromission complète et une attaque ransomware potentielle.
Comment savoir si je suis vulnérable ?
Dans PowerShell avec des droits administrateur, exécutez : Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion, AMServiceEnabled. Comparez la version AMEngineVersion avec les versions publiées par Microsoft dans son bulletin Security Update Guide pour CVE-2026-33825. Pour vérifier à grande échelle via Intune ou SCCM, recherchez les systèmes n'ayant pas installé les KB d'avril 2026. Sur Windows Server, vérifiez via : Get-HotFix | Where-Object {$_.HotFixID -like "KB5036*"} pour confirmer l'installation des mises à jour cumulatives d'avril 2026.
Votre parc Windows est-il protégé contre BlueHammer ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-10520 : Ivanti Sentry RCE pré-auth CVSS 10.0
CVE-2026-10520 est une injection de commandes OS pré-authentifiée CVSS 10.0 dans Ivanti Sentry permettant l'exécution root. Des passerelles mobiles enterprise ont été backdoorées dans les 24h suivant la publication du PoC.
CVE-2026-48282 : Adobe ColdFusion CVSS 10.0 exploité
CVE-2026-48282 est une vulnérabilité de traversée de chemin CVSS 10.0 dans Adobe ColdFusion permettant l'exécution de code sans authentification. Exploitation active confirmée par le CCCS.
CVE-2026-20253 : RCE pré-auth Splunk Enterprise, CISA KEV
CVE-2026-20253 affecte Splunk Enterprise 10.x via un endpoint PostgreSQL sidecar sans authentification permettant RCE. Exploitation active confirmée depuis le 14 juin 2026, ajoutée au KEV CISA le 18 juin 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire