🗓️ Contexte

Publié le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la vulnérabilité zero-day CVE-2026-33825 dans Microsoft Windows Defender, divulguée publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publié un correctif lors du Patch Tuesday d’avril 2026.

🔍 Vulnérabilité CVE-2026-33825

  • Score CVSS : 7.8 (High)
  • Type : Local Privilege Escalation (LPE)
  • Cause : Race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remédiation de fichiers de Windows Defender
  • Impact : Exécution de code au niveau SYSTEM depuis un compte non privilégié, sans interaction utilisateur
  • Produits affectés : Windows 10 (toutes versions supportées), Windows 11 (toutes versions supportées), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise à jour d’avril 2026)

⚙️ Détails techniques — Exploit BlueHammer

L’exploit BlueHammer abuse de la logique de remédiation de fichiers de Defender :

  1. Placement d’un fichier déclenchant une détection Defender
  2. Utilisation d’un opportunistic lock (oplock) pour suspendre l’opération de fichier de Defender
  3. Création d’un NTFS junction point redirigeant le chemin cible vers C:\Windows\System32
  4. À la reprise de l’oplock, Defender suit la jonction et écrit dans le répertoire système avec ses privilèges SYSTEM
  5. Écrasement d’un binaire système légitime par un payload malveillant → exécution SYSTEM

⚙️ Détails techniques — Exploit RedSun

RedSun abuse du mécanisme de rollback de fichiers cloud de Defender :

  1. Déclenchement d’une détection Defender avec un fichier crafté
  2. Remplacement par un cloud placeholder via Windows Cloud Files API
  3. Utilisation de NTFS junctions et oplocks pour rediriger le chemin vers C:\Windows\System32
  4. Defender effectue le rollback avec ses privilèges SYSTEM vers le chemin redirigé
  5. Écrasement d’un binaire système → exécution SYSTEM sans privilèges ni interaction utilisateur

🔗 Contexte élargi — Cluster de zero-days avril 2026

Dans une fenêtre de 13 jours en avril 2026, trois exploits ciblant Windows Defender ont été divulgués :

  • BlueHammer : LPE via logique de remédiation de fichiers
  • UnDefend : Dégradation progressive de la protection Defender via son mécanisme de mise à jour
  • RedSun : LPE via mécanisme de rollback de fichiers cloud

Ces exploits peuvent être chaînés pour escalader les privilèges, dégrader les défenses et maintenir l’accès.

📋 Type d’article

Analyse technique publiée par un vendor de sécurité (Picus Security), visant à expliquer le fonctionnement des exploits CVE-2026-33825, BlueHammer et RedSun, et à promouvoir la simulation d’attaques via la plateforme Picus.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1574.010 — Hijack Execution Flow: Services File Permissions Weakness (Persistence)
  • T1222 — File and Directory Permissions Modification (Defense Evasion)
  • T1211 — Exploitation for Defense Evasion (Defense Evasion)

IOC

  • CVEs : CVE-2026-33825NVD · CIRCL
  • Chemins : C:\Windows\System32

Malware / Outils

  • BlueHammer (tool)
  • RedSun (tool)
  • UnDefend (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ picussecurity.com — source non référencée (0pts)
  • ✅ 7322 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.picussecurity.com/resource/blog/bluehammer-redsun-windows-defender-cve-2026-33825-zero-day-vulnerability-explained