Les trois failles de sécurité zero-day présentes dans Microsoft Defender et divulguées récemment par un chercheur en sécurité mécontent sont désormais exploitées par les cybercriminels, d’après Huntress Labs. Voici ce que l’on sait.
Trois exploits dans Microsoft Defender
Ces dernières semaines, deux vulnérabilités découvertes dans Microsoft Defender ont fait parler d’elles : BlueHammer et RedSun. Elles ont été divulguées par Nightmare-Eclipse, un chercheur en sécurité mécontent du traitement qu’il a reçu de la part de l’équipe sécurité de Microsoft. Il a également publié une autre faille de sécurité zero-day : UnDefend, elle aussi située dans Microsoft Defender.
Il a publié sur GitHub des codes d’exploitation pour ces trois vulnérabilités et visiblement cela n’a pas échappé aux cybercriminels. En effet, le SOC de Huntress Labs affirme avoir observé l’exploitation de ces trois exploits au sein de cyberattaques.
D’après eux, les pirates ont commencé à exploiter la vulnérabilité BlueHammer à partir du 10 avril 2026. Puis, dès le 16 avril, les cybercriminels ont enchaîné en utilisant les exploits PoC de RedSun et UnDefend.
Quelles sont les actions réalisées ?
L’analyse de Huntress met en évidence un mode opératoire basé sur une approche manuelle, avec l’exécution de commandes spécifiques, plutôt que d’actions automatisées. Le cas observé ressemble à une attaque ciblée.
Parmi les commandes exécutées par les attaquants, on retrouve des commandes adaptées pour de l’énumération et de la cartographie réseau :
whoami /priv
cmdkey /list
net group
“Dans le cas le plus flagrant, l’activité comprenait des fichiers binaires suspects placés dans des répertoires accessibles en écriture par l’utilisateur, une reconnaissance par saisie manuelle, un accès SSL VPN FortiGate vraisemblablement compromis et des activités de tunneling ultérieures.”, précise Huntress dans un rapport publié il y a quelques jours.
Pour le moment, les cybercriminels ne semblent pas faire de réels efforts de dissimulation puisqu’ils ont utilisé des noms d’exécutables identiques à ceux publiés par Nightmare-Eclipse. “Les noms de fichiers étaient également remarquables, car ils correspondaient à ceux des dépôts PoC publics. Huntress a détecté des fichiers binaires nommés FunnyApp.exe, RedSun.exe, undef.exe, ainsi qu’une variante renommée, z.exe.”, peut-on lire.
Les chercheurs évoquent aussi la présence d’un fichier nommé agent.exe qui correspondrait à un outil de tunneling codé en Go. Il a déjà été observé au sein de précédentes cyberattaques. De votre côté, il peut s’avérer intéressant de surveiller ces noms de fichiers dans vos logs, même si le dernier cité est relativement générique.
En matière de protection face à ces exploits, sachez qu’il existe un patch de sécurité pour la faille BlueHammer (CVE-2026-33825). Le correctif a été intégré aux mises à jour d’avril 2026 pour les différentes versions de Windows. Les deux autres vulnérabilités ne sont pas patchées à ce jour.
L’évolution de ce trio est à surveiller.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.