CISA: Windows BlueHammer flaw now exploited by ransomware gangs

Menace croissante : Exploitation de la faille BlueHammer par les gangs de ransomwares

La CISA a confirmé que la vulnérabilité « BlueHammer », affectant Microsoft Defender, est désormais activement exploitée par des groupes de ransomwares. Cette faille, initialement révélée sous forme de zero-day par un chercheur en sécurité en avril 2026, permet à un attaquant disposant d’un accès local d’élever ses privilèges pour prendre un contrôle total sur le système cible.

Points clés :

• Origine de la fuite : La vulnérabilité a été rendue publique par le chercheur « Nightmare Eclipse » suite à un désaccord sur le processus de divulgation de Microsoft.
• Impact : L’exploitation permet d’accéder à la base de données SAM (Security Account Manager), d’extraire des hachages de mots de passe et d’obtenir des privilèges SYSTEM.
• Contexte : Cette faille s’inscrit dans une série de vulnérabilités critiques divulguées récemment (notamment RoguePlanet, RedSun, GreenPlasma), ciblant Microsoft Defender ou des composants Windows.

Vulnérabilité identifiée :

• CVE-2026-33825 : Vulnérabilité d’élévation de privilèges dans Microsoft Defender.

Recommandations :

• Application des correctifs : Bien que Microsoft ait corrigé cette faille lors du « Patch Tuesday » d’avril 2026, il est impératif de s’assurer que tous les systèmes Windows du parc informatique sont à jour.
• Surveillance : La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités activement exploitées (KEV), soulignant le risque élevé pour les entreprises. Les équipes de sécurité doivent surveiller les comportements suspects liés à l’élévation de privilèges locaux.

Source