ActualitéInformatique

Cette faille de Microsoft Defender est désormais utilisée dans des attaques par rançongiciel

Microsoft Defender est touché par une faille de sécurité désormais exploitée dans des attaques par rançongiciel. Référencée sous le nom CVE-2026-33825 et surnommée BlueHammer, cette vulnérabilité permet à un pirate déjà présent sur un ordinateur d’obtenir les privilèges les plus élevés de Windows. Microsoft a publié un correctif le 14 avril 2026.

BlueHammer permet d’obtenir les privilèges SYSTEM

La faille BlueHammer provient d’un contrôle insuffisamment précis des droits d’accès dans Microsoft Defender. Elle a reçu un score de gravité de 7,8 sur 10, correspondant à un niveau élevé.

Un attaquant disposant déjà de droits limités sur l’ordinateur peut exploiter cette faiblesse pour accéder à des ressources normalement protégées. Il peut notamment atteindre la base Security Account Manager, qui contient les empreintes des mots de passe associés aux comptes locaux.

Cette exploitation peut lui permettre d’obtenir les privilèges SYSTEM, le niveau d’accès le plus élevé sous Windows. Le pirate peut alors exécuter des commandes, manipuler des fichiers protégés ou prendre le contrôle complet de la machine.

La faille nécessite un premier accès à l’ordinateur

BlueHammer ne permet pas d’attaquer directement un PC depuis Internet sans accès préalable. Le pirate doit d’abord réussir à exécuter un programme sur la machine ou compromettre un compte disposant de droits locaux.

Ce premier accès peut provenir d’un courriel malveillant, d’un mot de passe volé, d’un logiciel piégé ou d’une autre vulnérabilité.

Une fois installé sur l’ordinateur, l’attaquant peut utiliser BlueHammer pour augmenter ses privilèges, contourner certaines protections, récupérer des données supplémentaires ou préparer le déploiement d’un rançongiciel.

A lire :  Microsoft, Amazon et Google pourraient être écartés des clouds publics les plus sensibles en Europe

Des groupes de rançongiciels exploitent désormais BlueHammer

La CISA, l’agence américaine chargée de la cybersécurité, a ajouté CVE-2026-33825 à son catalogue des vulnérabilités activement exploitées le 22 avril 2026.

L’agence a ensuite indiqué que cette faille était aussi utilisée dans des campagnes de rançongiciels. BlueHammer avait déjà été exploitée comme faille zero-day, avant que les utilisateurs disposent d’un correctif.

L’existence publique d’un code permettant de reproduire l’attaque augmente également le risque pour les ordinateurs qui n’ont pas encore reçu la mise à jour.

Microsoft Defender doit être mis à jour immédiatement

Microsoft a corrigé BlueHammer lors des mises à jour de sécurité publiées le 14 avril 2026. Les versions de la plateforme Microsoft Defender antérieures à la 4.18.26030.3011 sont répertoriées comme vulnérables.

Les composants de Microsoft Defender sont généralement actualisés automatiquement. Une vérification manuelle reste possible depuis l’application Sécurité Windows.

Il faut ouvrir la rubrique Protection contre les virus et menaces, accéder aux mises à jour de la protection, puis rechercher les nouvelles versions disponibles. Il est également recommandé de lancer Windows Update afin d’installer tous les correctifs du système.

Les entreprises doivent rechercher les traces d’une intrusion

La mise à jour doit être appliquée en priorité sur les ordinateurs professionnels, les serveurs et les machines accessibles à distance. Ces systèmes sont particulièrement recherchés par les groupes spécialisés dans les rançongiciels.

Installer le correctif bloque les nouvelles tentatives d’exploitation de BlueHammer, mais ne supprime pas une éventuelle infection antérieure. Les administrateurs doivent donc rechercher les connexions inhabituelles, les élévations de privilèges suspectes et les modifications apportées aux protections de Microsoft Defender.

A lire :  Microsoft confirme que la Corbeille a un petit problème sur tous les Windows

Une machine compromise avant l’installation du correctif peut toujours contenir un logiciel malveillant ou un accès dissimulé utilisé par les attaquants.

Source 1

Source 2

Source 3

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Eric Thomas

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.

Voir tous les articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *