Au cours des dernières semaines, nous avons vu comment les vulnérabilités nouvellement révélées sur Windows ont rapidement évolué d'être des données de laboratoire à devenir des outils actifs dans les arsenaux des attaquants. Trois échecs liés à Microsoft Defender, publiés par un chercheur qui identifie comme "Eclipse Chaotique" ou "Nightmare-Eclipse", sont déjà exploités pour étendre les privilèges jusqu'à SYSTEM ou saboter la protection antivirus elle-même, selon les enquêtes et les observations par les équipes d'intervention incident.
Le contexte concerne: les exploits qui ont été filtrés à l'origine inclus concept test code (PoC) que l'auteur publié en protestation du processus de communication de vulnérabilités avec Microsoft. Cette publication a révélé les échecs avant qu'il n'y ait des patchs complets pour tous, et a amené les acteurs malveillants à les intégrer dans leurs campagnes. Microsoft distingue ces échecs comme des jours zéro dans la mesure où ils n'avaient aucune correction lorsqu'ils ont été rendus publics; la définition officielle peut être trouvée dans la documentation de Microsoft sur les vulnérabilités de jour zéro dans Defend dans ce lien: Microsoft - vulnérabilités zéro jour.
Les trois vecteurs en question ont des noms qui circulent déjà dans la communauté : BlueHammer, RedSun et UnDefender. BlueHammer a été suivi comme CVE-2026-33825 et Microsoft l'a inclus dans ses mises à jour d'avril 2026, de sorte que l'application de ce patch atténue spécifiquement cette menace. Cependant, les deux autres techniques - RedSun et UnDefend - restent sans correction officielle au moment de la publication des observations de l'équipe de réponse, et ont été utilisées dans des attaques réelles, comme l'a rapporté Huntress Labs : message de Huntress et surveillance technique.
Que fait chaque explosion et pourquoi elle s'inquiète: UnDefense permet à un utilisateur standard de bloquer les mises à jour des définitions de Microsoft Defender. Ce n'est pas seulement une nuisance: couper le moteur / les mises à jour de signature rend plus facile pour les logiciels malveillants de passer inaperçus et les étapes ultérieures d'une attaque à installer sans être détectés. RedSun, pour sa part, profite d'un comportement de service spécifique pour écraser les fichiers et augmenter les privilèges à SYSTEM lorsque Defenseing est actif; le test de concept explique comment la gestion de certains fichiers associés à des détections d'étiquettes en nuage est abusée pour provoquer une réécriture sur des fichiers sensibles, obtenant ainsi un contrôle système élevé - le dépôt PoC est disponible dans GitHub: GitHub - RedSun. BlueHammer est une autre technique d'escalade que Microsoft a garé dans la newsletter Avril, donc son risque immédiat diminue si les systèmes sont mis à jour.
Les incidents observés ne sont pas de simples explorations automatisées. Huntress a documenté des cas dans lesquels les attaquants ont accédé à des appareils utilisant des identifiants SSLVPN compromis et, après avoir compromis une machine, ont utilisé ces techniques dans un motif « mains sur clavier », c'est-à-dire l'activité manuelle et dirigée d'un opérateur humain. Cela pose un danger : lorsqu'un attaquant réalise un contexte et une télécommande, des techniques comme UnDefense servent à maintenir la persistance et à réduire la visibilité de ses actions tout en déployant des outils qui nécessitent des privilèges.
Le débat sur la sensibilisation coordonnée : une partie du problème ici était le différend entre le chercheur qui a publié PoC et Microsoft sur les temps et la gestion de la correction. Microsoft a réitéré son engagement à la divulgation coordonnée pour enquêter sur les vulnérabilités et protéger les clients avant la divulgation publique de masse; l'entreprise préfère souvent travailler avec les chercheurs pour résoudre les incidents avant que le code ou les détails ne soient accessibles au public. La première publication du chercheur a accéléré l'exposition et permis à des acteurs malveillants de l'utiliser, ce qui soulève des questions complexes sur la responsabilité, la pression des chercheurs et les priorités dans la réparation des échecs critiques.
Ce que les organisations et les utilisateurs peuvent faire dès maintenant : premier et le plus urgent est de vérifier et d'appliquer les mises à jour officielles de Microsoft: la correction que les adresses BlueHammer sont venues avec les mises à jour avril 2026, donc l'installation de correctifs réduit l'exposition à cette technique. Mais puisque RedSun et UnDefense n'avaient toujours pas de patch au moins au moment des rapports, les équipes de sécurité doivent supposer que ces vecteurs peuvent être exploités et agir en conséquence. Il est recommandé de renforcer la télémétrie et la surveillance des paramètres en accordant une attention particulière aux signaux de traitement du service de défense, d'écrasement des fichiers système ou de modification des règles et des mises à jour de signature. Il est également essentiel de revoir l'accès à distance (comme SSLVPN), en veillant à ce que l'authentification multifactorielle, les identifiants solides et les politiques d'accès minimales soient utilisés; Huntress a lié au moins un cas aux identifiants VPN engagés: Observation de la chasseuse.
En outre, les analyses techniques et les détails publiés par confiance devraient être consultés pour comprendre les indicateurs et les techniques d'engagement utilisés. BleepingComputer a largement couvert ces défaillances et leur PoC dans des articles détaillés qui expliquent la mécanique de RedSun et d'autres vecteurs; ses notes techniques aident à prioriser les détections et les atténuations: Calculateur - RedSun et Calculateur de roulement - BlueHammer.
Réflexion finale: Cette série de divulgations et d'exploitation montre la tension réelle entre la rapidité de la correction et la pression publique du milieu de la recherche. Tandis que les organisations attendent des correctifs, les attaquants n'intègrent pas les concepts et les preuves techniques dans leurs opérations. Pour les équipes de sécurité de l'entreprise et les chefs de ménage, la leçon est double : maintenir des systèmes à jour réduit les risques contre les vulnérabilités enchaînées, et une stratégie proactive de détection et de segmentation des réseaux demeure essentielle pour atténuer les défaillances non corrigées. La combinaison de bonnes pratiques dans la gestion de l'accès, d'une politique robuste de patchs et de visibilité continue dans les paramètres est aujourd'hui la meilleure défense contre ces menaces en évolution.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...