En bref

  • CVE-2026-33825 (CVSS 7,8) : zero-day d'élévation de privilèges dans Microsoft Defender Antimalware Platform surnommé BlueHammer.
  • Toutes les versions de Windows 10, Windows 11 et Windows Server exécutant Microsoft Defender avec une plateforme antérieure aux correctifs d'avril 2026.
  • Appliquer immédiatement la mise à jour de la plateforme Defender et vérifier la version du Malware Protection Engine : deadline fédérale CISA au 6 mai 2026.

Les faits

Le 22 avril 2026, la CISA a ajouté la vulnérabilité CVE-2026-33825 au catalogue Known Exploited Vulnerabilities (KEV), confirmant que cette faille d'élévation de privilèges dans Microsoft Defender Antimalware Platform fait l'objet d'une exploitation active. Publiquement divulguée le 7 avril 2026 sous le nom BlueHammer avec un proof-of-concept fonctionnel, la faille a reçu un score CVSS 3.1 de 7,8 et permet à un utilisateur non privilégié d'obtenir une exécution de code au niveau SYSTEM. Microsoft a publié un correctif dans sa mise à jour cumulative de plateforme Defender en avril 2026 et la CISA a fixé aux agences fédérales américaines une échéance de remédiation au 6 mai 2026. Les équipes de Huntress ont observé l'exploitation en masse à partir du 10 avril 2026, soit trois jours seulement après la publication du PoC. Cette faille s'inscrit dans une série de trois zero-days Defender divulgués en avril 2026, dont deux restent non corrigés à ce jour.

La vulnérabilité réside dans la logique de remédiation de fichiers de Windows Defender et s'appuie sur une condition de course (race condition) exploitant l'API Windows Cloud Files. Le scénario d'attaque consiste à déclencher une détection Defender avec un fichier piégé, puis à substituer ce fichier par un placeholder cloud via l'API Cloud Files. Pendant que Defender initie son processus de rollback, l'attaquant redirige le chemin cible vers un répertoire système critique (C:/Windows/System32) en utilisant des techniques de manipulation du système de fichiers. Defender écrit alors le fichier avec les privilèges SYSTEM, permettant la réécriture de binaires système et l'exécution de code arbitraire en tant que SYSTEM.

Selon le bulletin MSRC (Microsoft Security Response Center) et les analyses publiées par Huntress et Picus Security, BlueHammer fait partie d'un trio de zero-days Defender divulgués en avril 2026. Les deux autres, surnommés RedSun et UnDefend, sont également exploités en nature mais restent non patchés. Cette situation place Microsoft Defender, censé être l'outil de défense principal de Windows, dans la position inédite de devenir lui-même un vecteur de compromission privilégiée.

Impact et exposition

Toutes les installations Windows : postes de travail, serveurs, infrastructures Active Directory, contrôleurs de domaine exécutant Microsoft Defender Antimalware Platform avec une version du Malware Protection Engine antérieure au correctif d'avril 2026 sont concernées. L'exploitation requiert un accès local authentifié (compte standard non privilégié) mais permet de passer d'un accès utilisateur à une compromission totale de l'hôte. Cela transforme n'importe quel phishing réussi ou malware initial de faible privilège en compromission SYSTEM, court-circuitant le contrôle de compte d'utilisateur (UAC) et les restrictions AppLocker. La problématique est similaire à celle observée dans CVE-2025-60710 sur Windows Host Process, déjà intégrée au KEV CISA.

Les investigations terrain rapportent que les premiers exploits in-the-wild ont ciblé des environnements d'entreprise Windows, avec une automatisation massive via frameworks d'attaque observée dès mi-avril 2026. Toute machine Windows encore sous la version vulnérable de la plateforme Defender doit être considérée comme potentiellement compromise si un utilisateur local a exécuté du code non fiable dans les 10 derniers jours. Ce zero-day s'ajoute à d'autres failles critiques du Patch Tuesday d'avril 2026 comme CVE-2026-33824 (Windows IKE, CVSS 9.8), CVE-2026-33827 (Windows TCP/IP, CVSS 9.8) et CVE-2026-32201 (SharePoint zero-day).

Recommandations immédiates

  • Vérifier la version du Malware Protection Engine via Get-MpComputerStatus en PowerShell et forcer la mise à jour avec Update-MpSignature.
  • Appliquer la mise à jour de la plateforme Defender distribuée via Windows Update et Microsoft Update : advisory Microsoft Security Advisory MSRC d'avril 2026.
  • Rechercher les indicateurs de compromission publiés par Huntress : écritures anormales dans C:/Windows/System32 par le processus MsMpEng.exe, création de placeholders cloud suivis de rollback Defender.
  • Auditer les logs Windows Defender (Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational) pour détecter des séquences de rollback inhabituelles ou des échecs de remédiation.
  • Pour les deux zero-days non patchés (RedSun, UnDefend) : appliquer les règles ASR (Attack Surface Reduction) restreignant les exécutions depuis des répertoires utilisateurs et activer la protection cloud Defender.

⚠️ Urgence

Exploitation active confirmée depuis le 10 avril 2026. La deadline fédérale CISA est fixée au 6 mai 2026. La compromission peut passer silencieusement d'un accès utilisateur standard à SYSTEM sans alerte EDR classique puisque l'écriture est effectuée par MsMpEng.exe, un processus légitime et de confiance. Les deux autres zero-days Defender (RedSun, UnDefend) restent non corrigés.

Comment savoir si je suis vulnérable ?

Exécuter en PowerShell administrateur : Get-MpComputerStatus | Select AMEngineVersion, AMProductVersion, AntivirusSignatureVersion. Les versions de plateforme antérieures à celles publiées dans le correctif MSRC d'avril 2026 sont vulnérables. Un scan manuel avec l'outil Microsoft Safety Scanner à jour est recommandé pour détecter une éventuelle exploitation passée. Contrôler également la valeur de registre HKLM/SOFTWARE/Microsoft/Windows Defender pour des modifications récentes non autorisées.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit