Trois zero-days Defender exploités depuis le 10 avril : BlueHammer est patché, mais RedSun (SYSTEM) et UnDefend (blocage signatures) restent sans correctif.
En bref
- Trois zero-days Defender exploités activement depuis le 10 avril, dont deux toujours sans patch au 17 avril 2026.
- RedSun permet une élévation de privilèges vers SYSTEM ; UnDefend bloque les mises à jour de signatures Defender.
- Huntress confirme l'exploitation in the wild — les équipes Windows doivent durcir Defender sans attendre.
Ce qui s'est passé
Entre le 10 et le 16 avril 2026, trois failles zero-day visant Microsoft Defender ont été divulguées et exploitées dans la foulée. La première, surnommée BlueHammer et identifiée comme CVE-2026-33825, a été corrigée lors du Patch Tuesday d'avril. Les deux suivantes, RedSun et UnDefend, ont été publiées par le même chercheur — signant sous l'alias « Chaotic Eclipse » — en représailles à ce qu'il décrit comme un traitement méprisant de la part du MSRC de Microsoft.
RedSun exploite le mécanisme de restauration cloud de Defender : lorsque l'antivirus détecte un fichier cloud-tagged, il tente de le rétablir à son emplacement d'origine sans valider le chemin cible. Un attaquant local peut détourner cette opération d'écriture vers un répertoire privilégié, puis charger sa propre DLL exécutée avec les droits SYSTEM. UnDefend, de son côté, intercepte le canal de mise à jour des signatures et provoque un déni de service permanent sur le téléchargement des définitions : Defender continue de tourner, mais sans protection actualisée.
Huntress, qui surveille ces signatures sur son parc client, confirme avoir vu RedSun et UnDefend utilisés dans des attaques réelles dès le 16 avril. Microsoft n'a pas encore publié de correctif pour ces deux failles, et aucun avis MSRC ne mentionne un calendrier de patch out-of-band.
Pourquoi c'est important
Defender est l'EDR par défaut sur plus de 1,4 milliard de machines Windows. Lorsqu'un chercheur publie un zero-day de privilèges SYSTEM actif, la fenêtre entre divulgation et exploitation massive se compte en heures, pas en jours. Le combo RedSun + UnDefend est particulièrement toxique : le premier fournit la persistance privilégiée, le second garantit que les détections futures n'arriveront jamais. C'est exactement le type d'enchaînement que recherchent les opérateurs de ransomware pour passer de l'accès initial à l'encryption.
Pour les DSI, cela implique une réévaluation immédiate des contrôles compensatoires : Application Control (WDAC), règles ASR, Credential Guard. Et surtout, ne pas compter sur les définitions Defender pour protéger contre ce vecteur tant que Microsoft n'aura pas publié de correctif.
Ce qu'il faut retenir
- BlueHammer (CVE-2026-33825) est patché depuis le Patch Tuesday d'avril — appliquer la mise à jour de sécurité en priorité si ce n'est pas fait.
- RedSun et UnDefend n'ont aucun correctif : durcir les politiques ASR, surveiller les écritures dans %ProgramData%\Microsoft\Windows Defender\Platform et tout arrêt soudain de mise à jour de signatures.
- Un EDR tiers en couche secondaire (ou Defender for Endpoint configuré en mode complémentaire) limite le risque que UnDefend laisse un poste aveugle.
Faut-il désactiver Microsoft Defender en attendant le patch ?
Non. Désactiver Defender retirerait les protections existantes sans atténuer RedSun, qui exige déjà un accès local. Privilégiez les règles ASR, WDAC et la surveillance des mises à jour de signatures : un poste qui cesse soudainement de recevoir des définitions est le principal indicateur qu'UnDefend est actif.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
n8n : webhooks abusés pour diffuser un agent RMM Datto
Cisco Talos documente l'abus des webhooks n8n.cloud pour livrer un agent RMM Datto modifié via phishing — volume en hausse de 686 % depuis janvier 2025.
W3LL : le FBI démantèle un kit phishing vendu 500 $
Le FBI Atlanta et la police indonésienne ont démantelé W3LLSTORE, un kit phishing Microsoft 365 vendu 500 $ ayant causé plus de 20 M$ de fraude.
170 procureurs ukrainiens piratés par des hackers liés à la Russie
Reuters révèle le 16 avril 2026 la compromission de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie. 284 intrusions documentées sur 18 mois.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire