La **CISA** a donné aux agences gouvernementales américaines deux semaines pour sécuriser leurs systèmes **Windows** contre une vulnérabilité d'escalade de privilèges de **Microsoft Defender** qui a été exploitée dans des attaques zero-day. Suivie sous la référence **CVE-2026-33825**, cette faille de sécurité de haute gravité permet à des acteurs de menace locaux à faibles privilèges d'obtenir des permissions SYSTEM sur les appareils non corrigés en exploitant une faiblesse d'insuffisance de granularité du contrôle d'accès. **Microsoft** a corrigé la vulnérabilité le 14 avril dans le cadre du Patch Tuesday de ce mois, une semaine après qu'un chercheur en sécurité utilisant le pseudonyme "Chaotic Eclipse" l'ait surnommée "BlueHammer" et ait publié du code d'exploit proof-of-concept pour protester contre la manière dont le Centre de réponse de sécurité de **Microsoft** (MSRC) a géré le processus de divulgation. Chaotic Eclipse a également divulgué une deuxième faille d'escalade de privilèges de **Microsoft Defender** (surnommée RedSun) et une troisième faille (connue sous le nom d'UnDefend) qui peut être exploitée par un utilisateur standard pour bloquer les mises à jour des définitions de Defender. Au moment de la fuite, les trois vulnérabilités étaient considérées comme des zero-days selon la définition de **Microsoft**, car elles ne disposaient pas de correctifs officiels. De plus, comme l'ont révélé le 16 avril les chercheurs en sécurité de **Huntress Labs**, des attaquants exploitaient également ces zero-days dans des attaques qui montraient des preuves d'"activité d'acteur de menace en mode mains sur le clavier". "L'activité semblait également faire partie d'une intrusion plus large plutôt que de tests isolés de preuve de concept (PoC)", a déclaré la société de cybersécurité dans un rapport lundi. "**Huntress** a identifié un accès suspect au **SSL VPN** de **FortiGate** lié à l'environnement compromis, y compris une adresse IP source géolocalisée en Russie, avec une infrastructure suspecte supplémentaire observée dans d'autres régions." La **CISA** a maintenant ajouté la vulnérabilité BlueHammer à son catalogue de vulnérabilités connues et exploitées (KEV) lundi, ordonnant aux agences de la branche exécutive civile fédérale (FCEB) de corriger leurs systèmes **Windows** contre les attaques en cours sur la **CVE-2026-33825** dans un délai de deux semaines, jusqu'au 7 mai. "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et représente des risques importants pour l'entreprise fédérale", a averti la **CISA**. "Appliquez les mesures d'atténuation conformément aux instructions du fournisseur, suivez les directives BOD 22-01 applicables aux services cloud, ou cessez d'utiliser le produit si les mesures d'atténuation ne sont pas disponibles." Il y a une semaine, la **CISA** avait également averti qu'une vulnérabilité d'escalade de privilèges de **Windows** Task Host (**CVE-2025-60710**) qui accorde aux attaquants des privilèges SYSTEM sur les appareils **Windows 11** et **Windows Server 2025** non corrigés est également activement exploitée dans la nature.