Un nouvel avis de la société de cybersécurité Huntress a activé les alarmes : les attaquants profitent de trois nouveaux échecs signalés dans Microsoft Defender pour étendre les privilèges dans les équipes engagées. Les vulnérabilités, connues par l'alias BlueHammer, RedSun et UnDefense, ont été publiées par un chercheur qui signe l'Eclipse Chaotique (également appelée Nightmare-Eclipse), pour protester contre la façon dont Microsoft, à son avis, a géré le processus de sensibilisation.
Des trois échecs, BlueHammer et RedSun permettent de lever des privilèges du système lui-même, ce qui, dans la pratique, facilite l'accès initial d'un intrus au contrôle de l'équipement. Au lieu de cela, UnDefense est conçu pour causer une condition de déni de service qui peut bloquer les mises à jour des définitions, un vecteur qui laisse les paramètres sans défenses actuelles contre les logiciels malveillants. Microsoft s'est adressé à BlueHammer dans les mises à jour du mardi Patch de cette semaine et les chiffres de vulnérabilité que CVE-2026-33825 mais au moment de la rédaction de ce texte RedSun et UnDefend restent sans correctif formel.
Huntress a publié dans des réseaux et dans ses analyses qu'il a observé l'exploitation active des trois vulnérabilités. Selon la société, BlueHammer a déjà été utilisé dans des attaques depuis le 10 avril 2026, et le 16 avril, il y avait des preuves de concept public montrant l'utilisation de RedSun et UnDefense. Les opérateurs, les chercheurs expliquent, non seulement exécuté des exploits automatisés: ils ont effectué des tâches typiques à clavier, c'est-à-dire une activité manuelle et dirigée après l'accès initial. Parmi les commandes détectées figurent les consultations sur les privilèges et les lettres de créances, comme whoami / priv, cmdkey / list et net group, des signes clairs que l'agresseur explore et prépare le terrain pour les mouvements ultérieurs.
Ce qui rend cet épisode plus inquiétant est la combinaison de plusieurs facteurs : la divulgation publique par le chercheur, l'existence d'exploits et de tests conceptuels en circulation, et la confirmation de l'usage réel par les acteurs malveillants. Cela a forcé Huntress à prendre des mesures de confinement dans l'organisation touchée pour empêcher les agresseurs d'approfondir leur accès ou de se déplacer latéralement dans le réseau.
Bien que Microsoft ait déjà corrigé BlueHammer dans son patch mensuel, il est important que les équipes de sécurité ne considèrent pas le risque fermé jusqu'à ce que tous les échecs soient atténués. Microsoft publie ses mises à jour et ses guides par l'intermédiaire du Security Response Center ( Guide de mise à jour de sécurité de Microsoft) et les bulletins correspondants devraient y être vérifiés. La base de données de vulnérabilité NIST à l'entrée est disponible pour référence publique de l'identificateur associé à BlueHammer. CVE-2026-33825.
Dans des situations comme celle-ci, au-delà de l'application de correctifs lorsqu'ils sont disponibles, les recommandations pratiques comprennent le renforcement de la surveillance des paramètres et des mécanismes inhabituels de détection des activités, l'application du principe du privilège inférieur dans les comptes et les services, et l'examen des dossiers de sécurité pour identifier les commandes et les modèles d'indicateurs d'exploration ou d'exfiltration. La documentation de Microsoft sur la protection et la gestion de Microsoft Defender fournit des conseils supplémentaires sur la configuration et les bonnes pratiques ( Documents officiels du Défenseur).
Les événements récents mettent en évidence une tendance problématique : la tension entre les chercheurs qui publient une explosion de zéro jour et la fenêtre temporaire laissée par les organisations pour se garer et atténuer. La couverture médiatique et les équipes d'intervention contactent souvent les fournisseurs; dans ce cas, Les nouvelles Hacker Il a rendu compte de la situation et a déclaré qu'il avait demandé des commentaires à Microsoft. Jusqu'à la mise à jour de la présente note, la réponse officielle devrait clarifier l'état des mesures d'atténuation pour RedSun et UnDefend.
Pour les gestionnaires et les responsables de la sécurité, la clé est maintenant d'agir rapidement et prudemment : installer les corrections disponibles, resserrer la télémétrie pour détecter les commandes suspectes et, si elles détectent des compromis, segmenter et isoler les systèmes affectés pour limiter l'impact. Les incidents de ce genre se rappellent que les solutions de sécurité sont aussi fortes que la vitesse avec laquelle les patchs sont appliqués et la qualité de la surveillance humaine qui les accompagne.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...