Des acteurs malveillants exploitent activement trois vulnérabilités de sécurité Windows récemment divulguées dans des attaques visant à obtenir des permissions SYSTEM ou administrateur élevées. Depuis le début du mois, un chercheur en sécurité connu sous le nom de "Chaotic Eclipse" ou "Nightmare-Eclipse" a publié du code exploit proof-of-concept pour les trois problèmes de sécurité, en protestation contre la manière dont le Security Response Center (MSRC) de Microsoft a géré le processus de divulgation. Deux des vulnérabilités (surnommées [BlueHammer](https://www.bleepingcomputer.com/news/security/disgruntled-researcher-leaks-bluehammer-windows-zero-day-exploit/) et [RedSun](https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/)) sont des failles d'escalade de privilèges locales (LPE) de Microsoft Defender, tandis que la troisième (connue sous le nom de [UnDefend](https://github.com/Nightmare-Eclipse/UnDefend)) peut être exploitée par un utilisateur standard pour bloquer les mises à jour de définitions de Microsoft Defender. Au moment de la fuite, les failles de sécurité ciblées par ces exploits étaient considérées comme des zero-days selon la définition de Microsoft, car il n'y avait pas de correctifs ou de mises à jour officiels pour les résoudre. Jeudi, des chercheurs en sécurité de Huntress Labs ont signalé avoir vu les trois exploits zero-day déployés dans la nature, la vulnérabilité BlueHammer étant exploitée depuis le 10 avril. Ils ont également observé des attaques sur un appareil Windows qui avait été compromis via un utilisateur SSLVPN compromis, montrant des preuves d'une "activité d'acteur de menace en mode manuel". "Le SOC de Huntress observe l'utilisation des techniques d'exploitation BlueHammer, RedSun et UnDefend de Nightmare-Eclipse", ont déclaré les chercheurs. ## Deux zero-days toujours en attente d'un correctif Bien que Microsoft suive désormais la vulnérabilité BlueHammer sous la référence CVE-2026-33825 et l'ait corrigée dans les mises à jour de sécurité d'avril 2026, les deux autres failles restent non corrigées. Comme signalé précédemment, les attaquants peuvent utiliser l'exploit RedSun pour obtenir des privilèges SYSTEM sur les systèmes Windows 10, Windows 11 et Windows Server 2019 et ultérieurs lorsque Windows Defender est activé, même après l'application des correctifs du Patch Tuesday d'avril. "Lorsque Windows Defender réalise qu'un fichier malveillant a une étiquette cloud, pour une raison stupide et hilarante, l'antivirus censé protéger décide qu'il est judicieux de réécrire le fichier qu'il a trouvé à son emplacement d'origine", a expliqué le chercheur. "Le PoC abuse de ce comportement pour écraser des fichiers système et obtenir des privilèges administratifs." "Microsoft s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients dès que possible", a déclaré un porte-parole de Microsoft à BleepingComputer plus tôt cette semaine, contacté pour plus d'informations sur les problèmes de divulgation signalés par le chercheur anonyme. "Nous soutenons également la divulgation coordonnée des vulnérabilités, une pratique largement adoptée dans l'industrie qui contribue à garantir que les problèmes sont soigneusement étudiés et résolus avant la divulgation publique, soutenant ainsi la protection des clients et la communauté de la recherche en sécurité."