Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched

Exploitation active de trois failles Zero-Day dans Microsoft Defender

Des attaquants exploitent activement trois vulnérabilités Zero-Day affectant Microsoft Defender, rendues publiques par le chercheur “Chaotic Eclipse” en raison d’un désaccord sur le processus de divulgation de Microsoft. Ces failles permettent une élévation de privilèges ou le blocage des mises à jour de sécurité.

Points clés :

• Nature des attaques : Les vulnérabilités sont utilisées pour obtenir des privilèges élevés sur les systèmes compromis.
• Activité malveillante : Des comportements de type “hands-on-keyboard” ont été observés, incluant des commandes d’énumération système (whoami /priv, net group, etc.).
• État des correctifs : Une seule des trois failles a reçu un correctif à ce jour.

Vulnérabilités identifiées :

• BlueHammer (CVE-2026-33825) : Élévation locale de privilèges (LPE). Correctif disponible depuis le Patch Tuesday d’avril 2026.
• RedSun : Élévation locale de privilèges (LPE). Aucun correctif disponible.
• UnDefend : Déni de service (DoS) permettant de bloquer les mises à jour des définitions de Defender. Aucun correctif disponible.

Recommandations :

• Appliquer les mises à jour : Installer immédiatement les correctifs Microsoft les plus récents pour mitiger la vulnérabilité CVE-2026-33825.
• Surveillance accrue : Surveiller les journaux d’événements pour détecter des activités d’énumération système suspectes, souvent précurseurs d’une exploitation de privilèges.
• Isolement : En cas de compromission avérée, isoler les systèmes affectés du réseau pour limiter la propagation de l’attaque.

Source