En bref

  • CVE-2026-33824, surnommée BlueHammer, est un double-free dans IKEEXT.dll exploitable en pré-authentification (CVSS 9.8) contre toutes les versions Windows supportées.
  • Un attaquant envoie des paquets IKEv2 spécialement formés en UDP/500 ou UDP/4500 et obtient l'exécution SYSTEM sans interaction utilisateur.
  • Correctif disponible dans le cumulatif d'avril 2026 ; à défaut, filtrer 500/4500 UDP ou restreindre aux pairs IPsec connus.

Les faits

Le Patch Tuesday d'avril 2026 a corrigé 163 CVE, dont deux zero-days. Parmi eux, CVE-2026-33824 — que les équipes Windows Defender Research ont baptisée BlueHammer — cible IKEEXT.dll, la bibliothèque Windows qui gère les échanges IKE (Internet Key Exchange) pour IPsec et le service Agent IPsec. Il s'agit d'une corruption mémoire de type double-free (CWE-415) survenant pendant le traitement de payloads IKEv2 spécifiques : le service libère deux fois les objets parsés dans un scénario de fragmentation, ouvrant la porte à une primitive d'écriture arbitraire. Microsoft note l'exploitation comme « plus probable » sur sa matrice interne, et plusieurs sources rapportent des tirs observés contre des institutions financières saoudiennes avant la disponibilité du correctif.

Le score CVSS 9.8 reflète la gravité du scénario : vecteur réseau, aucune authentification, aucune interaction utilisateur, impact complet sur confidentialité, intégrité et disponibilité. L'exécution de code s'effectue dans le contexte SYSTEM du service IKEEXT, soit le plus haut privilège local possible hors kernel. La surface est d'autant plus préoccupante que les services concernés écoutent par défaut sur UDP/500 (échange ISAKMP) et UDP/4500 (NAT-T) sur tout poste configuré pour VPN ou tunnel IPsec — ce qui inclut de nombreux serveurs edge, passerelles RRAS et endpoints équipés du client VPN Windows natif.

Impact et exposition

BlueHammer concerne Windows 10, 11, Windows Server 2016, 2019, 2022 et 2025. Les hôtes en première ligne sont ceux qui publient directement le service IKE : passerelles VPN natives Windows, serveurs RRAS, concentrateurs Always On VPN et postes itinérants dont le pare-feu n'a pas de règle filtrant les paquets IKE entrants. Un scan UDP/500 sur l'Internet public remonte encore plusieurs centaines de milliers de cibles côté entreprises. Dans les environnements internes, la surface est également importante : toute station configurée pour IPsec peer-to-peer ou Direct Access peut être attaquée depuis le LAN, y compris par un attaquant non authentifié ayant obtenu un pied dans le réseau.

La chaîne d'exploitation ne requiert pas de compte local, ni d'authentification IKE réussie. Les paquets malveillants sont traités par l'état parsing du service avant la phase d'échange de clés. Les organisations qui dépendent d'IPsec pour leurs interconnexions site-à-site doivent considérer cette fenêtre comme critique. Notre analyse du Patch Tuesday d'avril 2026 détaille par ailleurs l'autre zero-day SharePoint CVE-2026-32201 ajouté au KEV.

Recommandations

  • Déployer en priorité 1 les cumulatifs d'avril 2026 sur toutes les passerelles VPN, serveurs RRAS et postes exposés en IPsec.
  • À défaut de patch, bloquer UDP/500 et UDP/4500 en ingress sur les segments qui n'utilisent pas activement IKE.
  • Pour les services IKE qui doivent rester joignables, restreindre les sources aux adresses IP des pairs IPsec déclarés via pare-feu ou ACL.
  • Activer l'audit d'échecs IKE (événements 4650 et 4651) et forwarder vers le SIEM pour détecter les tentatives de flooding.
  • Lister les machines non gérées par WSUS ou Intune qui pourraient rater le déploiement et planifier un rattrapage manuel.

Alerte critique

Une passerelle VPN Windows non patchée exposée sur UDP/500 doit être isolée dans les 24 heures. Le vecteur est totalement non authentifié, wormable entre passerelles, et l'exploitation aboutit à SYSTEM distant. Toute exposition Internet de IKEEXT non corrigée représente un risque de compromission de tête de pont.

Nos tunnels IPsec site-à-site reposent sur des pare-feu Fortinet et Cisco : BlueHammer nous concerne-t-il ?

La vulnérabilité réside dans l'implémentation Windows IKEEXT. Si vos passerelles IPsec sont des appliances Fortinet ou Cisco, ces équipements ne sont pas affectés par CVE-2026-33824. En revanche, les clients Windows qui terminent un tunnel L2TP/IPsec ou IKEv2 via le client VPN natif Windows, ainsi que tout serveur Windows participant à une association IPsec locale, restent exposés. Rappelons que FortiClient EMS a lui aussi subi deux failles 9.1 exploitées en mars 2026.

Comment détecter une tentative d'exploitation en attendant le déploiement du patch ?

Corrélez trois signaux côté SIEM : montée brutale du volume UDP entrant sur 500/4500, crashs récurrents du service IKEEXT (événements 7031/7034 sur Service Control Manager), et apparition de processus fils inhabituels lancés par svchost.exe hébergeant IKEEXT. Microsoft Defender for Endpoint publie déjà une règle de détection dédiée, et les principaux EDR couvrent désormais le pattern de double-free observé.

Ce qu'il faut retenir

BlueHammer met un protocole vieillissant — IKEv2 — sur le devant de la scène et rappelle que les primitives mémoire dans des services d'apparence stables restent un filon actif. Microsoft a patché rapidement, mais la fenêtre zero-day a été réelle. Les organisations qui décalent encore leurs Patch Tuesday de deux à quatre semaines doivent revoir leurs priorités sur les composants réseau exposés. Pour une vue d'ensemble de la tension actuelle sur les correctifs critiques, voir notre dossier sur les outils de sécurité eux-mêmes devenus vecteurs d'attaque et l'ajout au KEV de CVE-2026-34197 Apache ActiveMQ.

Votre passerelle VPN est-elle patchée ?

Ayi NEDJIMI audite la configuration IPsec et la posture de patching des infrastructures VPN Windows pour identifier les expositions critiques.

Demander un audit