CVE-2026-33825 : LPE 'BlueHammer' sur Microsoft Defender

Danger

Alerte KEV (Exploitation Active) : la CVE-2026-33825, largement connue sous le nom de code de son exploit “BlueHammer”, est activement exploitée dans la nature. Elle a été divulguée publiquement aux côtés de deux autres zero-days sur Defender (“RedSun” et “UnDefend”) par un chercheur mécontent. Bien que Microsoft ait corrigé BlueHammer, les acteurs de la menace utilisent activement la preuve de concept (PoC) publique contre les systèmes non corrigés pour obtenir les privilèges SYSTEM.

Résumé exécutif

En avril 2026, le paysage de la cybersécurité a été secoué lorsqu’un chercheur en sécurité opérant sous le pseudonyme de Chaotic Eclipse (alias Nightmare-Eclipse) a publié trois exploits zero-day entièrement fonctionnels ciblant Windows Defender : BlueHammer, RedSun et UnDefend. Cette divulgation publique était un acte de protestation contre le processus de gestion des vulnérabilités de Microsoft.

La CVE-2026-33825 correspond à l’exploit BlueHammer. Il s’agit d’une vulnérabilité critique d’élévation de privilèges locale (LPE) avec un score CVSS de 7.8, causée par une condition de course (race condition) au sein du moteur de remédiation des menaces de Defender. En raison d’une granularité insuffisante du contrôle d’accès (CWE-1220), un attaquant local authentifié peut manipuler des opérations sur les fichiers lors d’une mise en quarantaine pour élever ses privilèges d’un utilisateur standard à NT AUTHORITY\SYSTEM.

Des entreprises de sécurité, dont Huntress Labs, ont confirmé que les acteurs de la menace utilisent activement le PoC BlueHammer lors d’intrusions réelles, l’exécutant après une reconnaissance réseau initiale pour obtenir la compromission totale du terminal.

Analyse technique de “BlueHammer”

La vulnérabilité réside dans la manière dont le service Defender (MsMpEng.exe), qui s’exécute avec les privilèges SYSTEM, effectue les opérations sur les fichiers lors du nettoyage ou de la mise en quarantaine d’un fichier malveillant détecté.

Lorsque Defender détecte une menace, il entame la remédiation. Cependant, il effectue des opérations de fichiers privilégiées sans valider le chemin cible au moment exact de l’opération d’écriture, créant ainsi une vulnérabilité classique de type condition de course (TOCTOU - Time-of-Check to Time-of-Use).

L’exploit BlueHammer militarise cette faille en forçant Defender à détecter un fichier malveillant factice. Pendant que Defender tente de le remédier, l’exploit utilise un verrou opportuniste (oplock) pour suspendre l’opération en plein vol. Durant cette pause, l’attaquant insère un point de jonction NTFS, redirigeant l’opération d’écriture du répertoire temporaire de l’utilisateur vers un répertoire système protégé comme C:\Windows\System32. Lorsque le verrou oplock est relâché, Defender écrit aveuglément la charge utile de l’attaquant dans le chemin protégé en tant que SYSTEM.

Flux d’exploitation

En se basant sur le PoC public et les observations de réponse à incident, la chaîne d’attaque se déroule comme suit :

1. Accès initial et reconnaissance : l’acteur de la menace obtient un accès utilisateur standard (ex: via des identifiants SSLVPN compromis) et effectue une énumération basique (whoami /priv, net group).
2. Placement de l’appât : l’attaquant dépose les binaires de l’exploit BlueHammer dans un répertoire standard (ex: Downloads ou Pictures) et les renomme pour éviter d’éveiller les soupçons.
3. Déclenchement de la remédiation : l’exploit dépose une signature de malware connue (comme une chaîne EICAR) pour forcer MsMpEng.exe à initier une action de quarantaine.
4. Abus d’Oplock et de Jonction : l’exploit suspend le processus Defender à l’aide d’un verrou opportuniste et remplace le répertoire par une jonction NTFS pointant vers C:\Windows\System32.
5. Compromission du système : Defender reprend son activité et déplace une DLL ou un binaire contrôlé par l’attaquant dans le répertoire protégé, qui est ensuite exécuté pour accorder un shell SYSTEM.

Investigation forensique (CSIRT)

L’investigation de BlueHammer (et de son pendant RedSun) nécessite de traquer des anomalies précises du système de fichiers autour du service Defender.

• Création de jonction suspecte : recherchez la création de points de montage ou de jonctions dans des répertoires temporaires ou publics précédant immédiatement un événement de remédiation Defender.
• Abus d’Oplock : la chasse aux menaces (Threat Hunting) avancée via l’EDR doit se concentrer sur la pose anormale de verrous opportunistes (oplocks) sur des fichiers activement analysés par MsMpEng.exe.
• Écritures inattendues dans System32 : surveillez les événements de création de fichiers dans C:\Windows\System32 où le processus initiateur est Windows Defender (MsMpEng.exe).

Détection et Threat Hunting

Déployez les règles suivantes pour détecter de manière proactive l’abus de jonctions associé à l’exploit BlueHammer.

Règle Sigma (Abus de jonction)

sigma_defender_bluehammer_abuse.yaml

title: Création de Jonction Suspecte pour LPE Defender (BlueHammer/CVE-2026-33825)
id: 9f8e7d6c-5b4a-3f2e-1d0c-8b7a6f5e4d3c
status: experimental
description: Détecte la création de jonctions de répertoires dans des chemins inscriptibles ciblant System32, imitant la méthodologie de l'exploit TOCTOU BlueHammer contre Windows Defender.
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|endswith: '\cmd.exe'
        CommandLine|contains|all:
            - 'mklink'
            - '/j'
            - 'C:\Windows\System32'
    condition: selection
level: high
tags:
    - attack.privilege_escalation
    - attack.t1548
    - cve.2026-33825

PowerShell (Audit de version)

audit_defender_version.ps1

# Auditer les terminaux pour les versions vulnérables de la plateforme Microsoft Defender
# Cible : Versions strictement inférieures à 4.18.26030.3011

$DefenderStatus = Get-MpComputerStatus
$Version = [System.Version]$DefenderStatus.AMProductVersion
$SafeVersion =[System.Version]"4.18.26030.3011"

if ($Version -lt $SafeVersion) {
    Write-Warning "VULNÉRABLE : La version de la plateforme $Version est exposée à BlueHammer (CVE-2026-33825)."
} else {
    Write-Host "SÉCURISÉ : La version de la plateforme $Version est corrigée contre BlueHammer." -ForegroundColor Green
}

Atténuation et remédiation

1. Application immédiate du correctif : assurez-vous que la plateforme antimalware Microsoft Defender est mise à jour vers la version 4.18.26030.3011 ou ultérieure. Cette mise à jour spécifique corrige la faille BlueHammer.
2. Vigilance sur les failles associées : bien que BlueHammer soit corrigé, les zero-days associés RedSun (une autre LPE abusant de la restauration de fichiers cloud) et UnDefend (un déni de service bloquant les mises à jour) restent non corrigés au moment de la rédaction. La surveillance comportementale de l’EDR doit rester active.

---

Sources et références

• Avis MSRC : CVE-2026-33825
• BleepingComputer : Recently leaked Windows zero-days now exploited in attacks
• The Hacker News : Three Microsoft Defender Zero-Days Exploited in the Wild
• SOCRadar : BlueHammer, RedSun, and UnDefend: Three Windows Defender Zero-Days Exploited in the Wild