CVE-2026-33825 & CVE-2026-41091 : 0-days Windows Defender SYSTEM

Les faits

Deux vulnérabilités zero-day dans Windows Defender, baptisées BlueHammer (CVE-2026-33825) et RedSun (CVE-2026-41091), font l'objet d'exploitations actives documentées depuis avril 2026. Toutes deux notées CVSS 7.8 (High), elles permettent à un attaquant disposant d'un accès local avec des privilèges limités d'élever ses droits jusqu'au niveau SYSTEM — le niveau de privilège le plus élevé sous Windows. La CISA (Cybersecurity and Infrastructure Security Agency) américaine a ajouté les deux CVE à son catalogue des vulnérabilités exploitées connues (KEV) et a fixé au 3 juin 2026 la date limite de remédiation pour les agences fédérales américaines. Une troisième faille connexe, dénommée UnDefend (CVE-2026-45498), a également été ajoutée au même catalogue KEV avec la même deadline.

CVE-2026-33825 (BlueHammer) réside dans le moteur de remédiation des menaces de Windows Defender et exploite une condition de compétition temporelle de type TOCTOU (Time-Of-Check to Time-Of-Use). Lorsque Defender détecte un fichier malveillant et initie sa remédiation, le moteur effectue des opérations privilegiées sur le système de fichiers sans valider le chemin cible au moment précis de l'écriture. L'attaquant exploite cette fenêtre temporelle en plaçant un fichier déclenchant une détection Defender, puis en utilisant un verrou opportuniste de lot (batch oplock) pour interrompre l'opération de remédiation à un instant critique. Pendant cette pause forcée de quelques millisecondes, l'attaquant crée un point de jonction NTFS qui redirige le chemin temporaire de Defender vers C:\Windows\System32. Lorsque Defender reprend son opération, il écrit dans le répertoire système protégé avec ses propres privilèges élevés, accordant à l'attaquant un contrôle d'écriture arbitraire sur le répertoire système. L'enchaînement complet de l'exploitation prend moins de deux secondes et ne requiert aucune interaction d'un autre utilisateur.

CVE-2026-41091 (RedSun) exploite un mécanisme distinct du même Malware Protection Engine. Le moteur dispose d'une fonctionnalité de rollback des fichiers cloud OneDrive : lorsqu'il détecte un fichier marqué comme fichier cloud, il tente de le restaurer automatiquement à son emplacement d'origine. Cette opération de restauration souffre d'une faiblesse de type link following : le moteur résout les liens symboliques et points de jonction NTFS de manière incorrecte avant d'y écrire le contenu restauré, sans valider que la destination finale est un chemin légitime. Un attaquant en position de faible privilège crée un lien symbolique ou une jonction NTFS dans un répertoire accessible, puis déclenche la fonctionnalité de rollback Defender via un fichier cloud forgé. Le moteur suit le lien et écrit dans un répertoire système protégé, accordant à l'attaquant un contrôle d'écriture sur C:\Windows\System32 et une élévation immédiate vers le niveau SYSTEM.

Les deux vulnérabilités ont été découvertes et divulguées par un acteur utilisant le pseudonyme Nightmare-Eclipse, qui a publié six exploits Windows zero-day en l'espace de six semaines entre avril et mai 2026. Nightmare-Eclipse a accompagné chaque divulgation de preuves de concept (PoC) fonctionnelles et publiées sur GitHub, revendiquant une opposition personnelle à Microsoft en raison de pratiques contractuelles jugées abusives. BlueHammer a été divulguée le 7 avril 2026 avec un PoC immédiatement opérationnel ; RedSun a suivi en mai 2026. La communauté de sécurité a rapidement reproduit les exploits et confirmé leur fonctionnement sur des systèmes Windows entièrement à jour au niveau système (mais avec un moteur Defender non mis à jour).

Microsoft a patché BlueHammer (CVE-2026-33825) lors du cycle Patch Tuesday d'avril 2026 (14 avril 2026), puis RedSun (CVE-2026-41091) et UnDefend (CVE-2026-45498) via une mise à jour hors cycle en mai 2026. Le correctif pour les trois vulnérabilités est intégré dans le Malware Protection Engine version 4.18.26040.1011. Contrairement aux mises à jour Windows standard qui nécessitent une intervention manuelle ou une politique de déploiement WSUS/SCCM, les mises à jour du moteur Defender se déploient normalement de manière automatique via Windows Update — mais cette automatisation peut être désactivée dans les environnements d'entreprise à haute sécurité, les machines déconnectées d'internet, les systèmes en mode air-gap ou les postes de travail dont l'administrateur a bloqué les mises à jour automatiques des définitions antivirus.

L'équipe de réponse aux incidents de la société Huntress a documenté la première exploitation confirmée in-the-wild de BlueHammer à la mi-avril 2026. Dans l'incident observé, l'attaquant avait initialement accédé au réseau via un compte VPN FortiGate compromis (probable credential stuffing ou phishing ciblé), puis avait conduit des commandes de reconnaissance standard (whoami, ipconfig, net user, nltest). La phase d'élévation de privilèges a utilisé BlueHammer pour passer d'un compte utilisateur standard au niveau SYSTEM, permettant ensuite le déploiement de malwares persistants en mémoire et le mouvement latéral vers d'autres machines du réseau d'entreprise. Des incidents ultérieurs rapportés par SecurityWeek et Help Net Security ont documenté des chaînes similaires utilisant RedSun en complément ou remplacement de BlueHammer pour maximiser la fiabilité de l'élévation de privilèges dans différentes configurations Windows.

GitHub et GitLab ont suspendu les comptes associés à Nightmare-Eclipse pour violation de leurs conditions générales d'utilisation concernant les outils offensifs. Microsoft a annoncé envisager des poursuites judiciaires. Ces démarches légales n'effacent pas le risque technique réel : les exploits BlueHammer et RedSun sont désormais largement distribués sur des miroirs alternatifs (canaux Telegram, forums cybercriminels, mirrors GitHub non officiels) et ont très probablement été intégrés à des frameworks offensifs commerciaux utilisés par des groupes APT et des opérateurs de ransomware, qui exploitent activement ces failles comme second maillon dans leurs chaînes d'attaque.

La chronologie des CISA KEV illustre l'urgence réelle et persistante : BlueHammer a reçu sa deadline KEV le 22 avril 2026 (deadline au 6 mai 2026 pour les agences fédérales), puis RedSun et UnDefend ont reçu la leur avec un délai plus court — deadline au 3 juin 2026 (hier). Cette double vague de deadlines KEV consécutives dans un intervalle de six semaines signale que la CISA observe une exploitation active continue et considère ces vulnérabilités comme une menace persistante pour l'ensemble de l'écosystème Windows au niveau mondial.

Impact et exposition

CVE-2026-33825 et CVE-2026-41091 affectent toute machine Windows équipée du Malware Protection Engine antérieur à la version 4.18.26040.1011 : Windows 10 (toutes éditions), Windows 11 (toutes éditions), Windows Server 2016, 2019, 2022 et 2026. La condition préalable d'exploitation est qu'un attaquant dispose d'un accès local avec un compte de faible privilège — ce qui correspond à un attaquant ayant exploité une vulnérabilité applicative, obtenu des credentials par phishing, credential stuffing, ou établi un accès initial via un malware déployé par email.

Dans la pratique, ces deux failles servent systématiquement de second maillon dans les chaînes d'attaque documentées : accès initial via phishing ou exploitation d'une RCE applicatif, puis élévation à SYSTEM via BlueHammer ou RedSun pour établir une persistance et désactiver les mécanismes de sécurité. Pour les environnements Active Directory, un accès SYSTEM sur une machine membre suffit souvent pour extraire les credentials Kerberos en mémoire via LSASS et initier des attaques de type Pass-the-Hash, Kerberoasting ou DCSync vers le contrôleur de domaine, aboutissant à une compromission de domaine totale similaire à Zerologon.

Les environnements les plus exposés sont ceux où les mises à jour Defender sont retardées ou désactivées : systèmes en mode déconnecté ou air-gap, environnements OT/SCADA intégrant Windows, postes de travail avec Defender en mode passif derrière un antivirus tiers qui ne reçoit pas les mises à jour de moteur automatiquement, ou machines dont l'administrateur a désactivé les mises à jour automatiques de définitions pour contrôler les déploiements via WSUS sans approbation préalable des définitions Defender.

Recommandations immédiates

• Vérifier la version du Malware Protection Engine via PowerShell : (Get-MpComputerStatus).AMEngineVersion — doit être >= 4.18.26040.1011
• Forcer la mise à jour des définitions Defender : Update-MpSignature en PowerShell, ou via Microsoft Endpoint Manager / Intune pour le déploiement de parc
• Dans les environnements WSUS ou SCCM : approuver et déployer immédiatement les mises à jour de définitions Microsoft Defender sans délai ni groupe de test intermédiaire
• Pour les environnements déconnectés : télécharger les définitions manuellement depuis le Microsoft Malware Protection Center (MMPC) et les déployer par script PowerShell ou GPO
• Surveiller les logs Windows pour des comportements caractéristiques BlueHammer : créations de jonctions NTFS inhabituelles (Event ID 4663) combinées à des élévations de privilèges (Event ID 4672) dans une fenêtre temporelle rapprochée
• Appliquer le principe du moindre privilège : limiter le nombre de comptes avec droits d'administration locale sur les postes et serveurs — cela réduit l'utilité des exploits d'élévation de privilèges
• Référence patch : Microsoft Security Advisory CVE-2026-33825 (avril 2026) et CVE-2026-41091 (mai 2026) — Malware Protection Engine version cible : 4.18.26040.1011