🗓️ Contexte

Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature.

🔍 Les trois exploits

Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub :

  • BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme.
  • RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann.
  • UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure.

Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft).

🚨 Exploitation in the wild

Les chercheurs de Huntress ont observé :

  • Le 10 avril 2026 : tentative d’exploitation de BlueHammer, bloquée par Windows Defender.
  • Le 16 avril 2026 : exploitation active de RedSun et UnDefend.

Le mode opératoire observé :

  1. Dépôt des fichiers d’exploit dans les dossiers Pictures et Downloads de l’utilisateur, renommés pour éviter la détection.
  2. Exécution de commandes de reconnaissance des privilèges utilisateur.
  3. Découverte de credentials stockés.
  4. Cartographie de la structure Active Directory.

Huntress a isolé l’organisation affectée pour stopper la post-exploitation.

📌 Statut et suite

Microsoft a corrigé BlueHammer (CVE-2026-33825) le 14 avril. RedSun et UnDefend restent non patchés. Le prochain Patch Tuesday étant dans plusieurs semaines, un patch d’urgence hors-bande est envisagé.

🏷️ Type d’article

Article de presse spécialisée relatant la publication de PoC zero-day et leur exploitation active, s’appuyant sur les observations de Huntress.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1069 — Permission Groups Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1018 — Remote System Discovery (Discovery)
  • T1036 — Masquerading (Defense Evasion)

IOC

  • CVEs : CVE-2026-33825NVD · CIRCL

Malware / Outils

  • BlueHammer (tool)
  • RedSun (tool)
  • UnDefend (tool)

🟡 Indice de vérification factuelle : 44/100 (moyenne)

  • ⬜ helpnetsecurity.com — source non référencée (0pts)
  • ✅ 2473 chars — texte partiel (fulltext extrait) (13pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.helpnetsecurity.com/2026/04/17/microsoft-defender-zero-days-exploited/