**Huntress** a signalé l'exploitation active de trois vulnérabilités de sécurité dans Microsoft Defender, pouvant potentiellement conduire à une élévation de privilèges sur les systèmes compromis. Les vulnérabilités, connues sous les noms de **BlueHammer**, **RedSun** et **UnDefend**, ont été initialement divulguées en tant que zero-days par un chercheur, Chaotic Eclipse (alias Nightmare-Eclipse), en raison de préoccupations concernant la gestion de la divulgation des vulnérabilités par Microsoft. ### Détails des vulnérabilités * **BlueHammer** : Une faille d'escalade de privilèges locale (LPE) dans Microsoft Defender. * **RedSun** : Une autre vulnérabilité LPE affectant Microsoft Defender. * **UnDefend** : Peut déclencher une condition de déni de service (DoS), empêchant les mises à jour des définitions. ### Statut des correctifs et informations CVE **Microsoft** a corrigé BlueHammer dans le cadre de ses mises à jour du Patch Tuesday. La vulnérabilité est suivie sous la référence **CVE-2026-33825**. Au moment de la rédaction, RedSun et UnDefend restent non corrigées. ### Exploitation en cours Huntress a observé l'exploitation active des trois vulnérabilités. BlueHammer aurait été exploité à partir du 10 avril 2026, avec des exploits de preuve de concept (PoC) pour RedSun et UnDefend apparaissant le 16 avril. Selon Huntress, les tentatives d'exploitation ont été précédées de commandes de reconnaissance, indiquant une activité manuelle par des acteurs malveillants. > "Ces invocations ont suivi des commandes d'énumération typiques : whoami /priv, cmdkey /list, net group, et d'autres qui indiquent une activité manuelle de l'acteur malveillant", a déclaré Huntress. ### Mesures d'atténuation Huntress a pris des mesures pour isoler l'organisation affectée afin d'empêcher d'autres activités post-exploitation. ### Réponse de Microsoft Microsoft a confirmé que l'exploit BlueHammer a été corrigé via la CVE-2026-33825. > "Microsoft s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils affectés pour protéger les clients dès que possible", a déclaré un porte-parole de Microsoft. "Nous soutenons également la divulgation coordonnée des vulnérabilités, une pratique largement adoptée par l'industrie qui contribue à garantir que les problèmes sont soigneusement étudiés et résolus avant la divulgation publique, soutenant ainsi la protection des clients et la communauté de la recherche en sécurité."