CVE-2026-33825 (BlueHammer) dans Microsoft Defender exploitée dans des attaques ransomware

📰 Source : SecurityWeek — Date de publication : 30 juin 2026 La CISA (agence amĂ©ricaine de cybersĂ©curitĂ©) a signalĂ© l’exploitation active de la vulnĂ©rabilitĂ© BlueHammer, identifiĂ©e sous la rĂ©fĂ©rence CVE-2026-33825, dans le cadre d’attaques ransomware. Cette faille affecte Microsoft Defender. 🔍 Contexte de divulgation BlueHammer fait partie d’une sĂ©rie d’exploits rendus publics par un chercheur mĂ©content opĂ©rant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse. Ce chercheur a choisi de divulguer publiquement plusieurs vulnĂ©rabilitĂ©s avant que Microsoft n’ait pu publier des correctifs, en rĂ©action Ă  ce qu’il perçoit comme une mauvaise gestion des rapports de vulnĂ©rabilitĂ©s par l’éditeur. ...

3 juillet 2026 Â· 2 min

RoguePlanet et GreatXML : élévation de privilÚges et contournement BitLocker sous Windows

🔍 Contexte PubliĂ© le 17 juin 2026 par Serhii Melnyk (LevelBlue SpiderLabs), cet article prĂ©sente une analyse technique approfondie de deux preuves de concept (PoC) publiĂ©es sous les alias Nightmare-Eclipse / MSNightmare, peu aprĂšs le Patch Tuesday de juin 2026 de Microsoft. 🚀 RoguePlanet : ÉlĂ©vation de privilĂšges locale via Microsoft Defender RoguePlanet est une technique d’élĂ©vation de privilĂšges locale (LPE) permettant Ă  un utilisateur standard d’obtenir une exĂ©cution en contexte SYSTEM sans exploitation noyau ni corruption mĂ©moire. Elle repose sur une chaĂźne en 7 Ă©tapes orchestrant des composants Windows lĂ©gitimes : ...

29 juin 2026 Â· 4 min

Zero-day RoguePlanet dans Microsoft Defender : élévation de privilÚges, patch en cours

📰 Source : SecurityWeek — Date : 17 juin 2026 Microsoft a publiĂ© un avis de sĂ©curitĂ© reconnaissant l’existence de CVE-2026-50656 (score CVSS 7.8), une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges dans le Microsoft Malware Protection Engine de Microsoft Defender, publiquement dĂ©signĂ©e sous le nom RoguePlanet. 🔍 DĂ©tails techniques La vulnĂ©rabilitĂ© exploite une race condition dans Microsoft Defender et permet Ă  un attaquant d’obtenir des privilĂšges SYSTEM. Un proof-of-concept (PoC) a Ă©tĂ© publiĂ© par le chercheur Nightmare Eclipse (alias Chaotic Eclipse), dĂ©montrant une Ă©lĂ©vation de privilĂšges locale (LPE) sur Windows 10 et Windows 11 avec les correctifs de juin 2026 installĂ©s. ...

18 juin 2026 Â· 3 min

0-day Windows Defender ' RoguePlanet ' : élévation de privilÚges SYSTEM via race condition

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (Ă©galement suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publiĂ© sur GitHub un exploit proof-of-concept (PoC) nommĂ© RoguePlanet, ciblant une vulnĂ©rabilitĂ© zero-day non encore rĂ©fĂ©rencĂ©e par Microsoft dans Microsoft Windows Defender. ⚙ Nature de la vulnĂ©rabilitĂ© RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilĂ©giĂ© peut rediriger une opĂ©ration fichier effectuĂ©e par Defender (qui s’exĂ©cute en tant que SYSTEM) via des NTFS junction points, afin d’exĂ©cuter du code arbitraire au niveau de privilĂšge le plus Ă©levĂ© (Local Privilege Escalation — LPE). ...

13 juin 2026 Â· 3 min

Un chercheur banni de GitHub publie 6 zero-days Windows aprĂšs un conflit avec Microsoft/MSRC

đŸ—“ïž Contexte Article publiĂ© le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sĂ©curitĂ© Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit Ă  la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔ Conflit chercheur / Ă©diteur Le diffĂ©rend a dĂ©butĂ© dĂ©but avril avec la publication sans prĂ©avis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusĂ© toute communication, supprimĂ© son compte Microsoft utilisĂ© pour les rapports de bugs, puis banni son compte GitHub. Il allĂšgue Ă©galement ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prĂ©voit des rĂ©compenses de 30 000 $ Ă  250 000 $ selon la criticitĂ©). Eclipse a migrĂ© vers GitLab suite au bannissement. ...

27 mai 2026 Â· 3 min

Zero-day Windows MiniPlasma : escalade de privilÚges SYSTEM via cldflt.sys, PoC publié

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sĂ©curitĂ© connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publiĂ© un exploit proof-of-concept (PoC) pour une vulnĂ©rabilitĂ© zero-day Windows baptisĂ©e MiniPlasma, permettant une escalade de privilĂšges jusqu’au niveau SYSTEM sur des systĂšmes Windows 11 entiĂšrement Ă  jour (incluant les mises Ă  jour Patch Tuesday de mai 2026). 🔍 DĂ©tails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus prĂ©cisĂ©ment la routine HsmOsBlockPlaceholderAccess. Elle permet la crĂ©ation de clĂ©s de registre arbitraires dans la ruche .DEFAULT sans vĂ©rification d’accĂšs appropriĂ©e, via une API non documentĂ©e CfAbortHydration. Cette vulnĂ©rabilitĂ© avait Ă©tĂ© initialement dĂ©couverte et signalĂ©e Ă  Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignĂ©e sous l’identifiant CVE-2020-17103 et supposĂ©ment corrigĂ©e en dĂ©cembre 2020. Le chercheur affirme que le correctif n’a jamais Ă©tĂ© rĂ©ellement appliquĂ© ou a Ă©tĂ© silencieusement rĂ©voquĂ©. ...

19 mai 2026 Â· 3 min

Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en représailles contre MSRC

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opĂ©rant sous le pseudonyme Nightmare-Eclipse, publie une sĂ©rie de divulgations publiques de vulnĂ©rabilitĂ©s ciblant Microsoft Windows, en rĂ©ponse Ă  ce qu’il dĂ©crit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — premiĂšre divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifiĂ© de « DOS tool » et de 0-day, permettant Ă  tout utilisateur d’exĂ©cuter du code avec privilĂšges administrateur en contournant Windows Defender. L’auteur prĂ©cise que combinĂ© Ă  BlueHammer, la machine est entiĂšrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en rĂ©ponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait Ă©tĂ© informĂ© mais avait ignorĂ© le signalement. 12 mai 2026 : Publication simultanĂ©e de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patchĂ© RedSun sans CVE ni advisory, malgrĂ© une exploitation active. Il confirme que YellowKey fonctionne mĂȘme dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠ ÉlĂ©ments notables L’auteur affirme disposer d’un dead man switch sophistiquĂ©, hĂ©bergĂ© hors de son domicile, contenant des divulgations massives supplĂ©mentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signĂ©s cryptographiquement via PGP (Ed25519), la clĂ© publique est publiĂ©e sur le blog. L’auteur annonce des divulgations de RCE Ă  venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est dĂ©crit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une sĂ©rie de divulgations publiques offensives (full disclosure) motivĂ©es par un conflit personnel avec Microsoft/MSRC, accompagnĂ©es de menaces crĂ©dibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnĂ©rabilitĂ©s non corrigĂ©es. ...

13 mai 2026 Â· 3 min

Trois zero-days Microsoft Defender exploités in the wild aprÚs publication de PoC

đŸ—“ïž Contexte Source : Help Net Security, article de Zeljka Zorz publiĂ© le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observĂ©e dans la nature. 🔍 Les trois exploits Un chercheur anonyme opĂ©rant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publiĂ© trois PoC sur GitHub : BlueHammer (publiĂ© le 3 avril 2026) : vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges dans Microsoft Defender. AssociĂ©e au CVE-2026-33825, corrigĂ©e par Microsoft le 14 avril 2026. Les chercheurs officiellement crĂ©ditĂ©s pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publiĂ© le 16 avril 2026) : second flaw d’élĂ©vation de privilĂšges dans Microsoft Defender. Son efficacitĂ© a Ă©tĂ© confirmĂ©e par le vulnerability analyst Will Dormann. UnDefend (publiĂ© le 16 avril 2026) : permet Ă  un utilisateur standard de bloquer les mises Ă  jour de signatures de Microsoft Defender ou de le dĂ©sactiver entiĂšrement lors d’une mise Ă  jour majeure. Le dĂ©pĂŽt GitHub reste accessible malgrĂ© un avertissement de la plateforme (propriĂ©tĂ© de Microsoft). ...

19 avril 2026 Â· 3 min

CVE-2026-33825 : Zero-day Windows Defender exploité par BlueHammer et RedSun pour élévation de privilÚges

đŸ—“ïž Contexte PubliĂ© le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la vulnĂ©rabilitĂ© zero-day CVE-2026-33825 dans Microsoft Windows Defender, divulguĂ©e publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publiĂ© un correctif lors du Patch Tuesday d’avril 2026. 🔍 VulnĂ©rabilitĂ© CVE-2026-33825 Score CVSS : 7.8 (High) Type : Local Privilege Escalation (LPE) Cause : Race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remĂ©diation de fichiers de Windows Defender Impact : ExĂ©cution de code au niveau SYSTEM depuis un compte non privilĂ©giĂ©, sans interaction utilisateur Produits affectĂ©s : Windows 10 (toutes versions supportĂ©es), Windows 11 (toutes versions supportĂ©es), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise Ă  jour d’avril 2026) ⚙ DĂ©tails techniques — Exploit BlueHammer L’exploit BlueHammer abuse de la logique de remĂ©diation de fichiers de Defender : ...

16 avril 2026 Â· 3 min

Fuite publique de l'exploit BlueHammer : zero-day LPE non patché sur Windows

📰 Contexte PubliĂ© le 6 avril 2026 par BleepingComputer, cet article rapporte la divulgation publique non coordonnĂ©e d’un exploit zero-day Windows par un chercheur en sĂ©curitĂ© opĂ©rant sous les alias Chaotic Eclipse et Nightmare-Eclipse, en rĂ©action Ă  la gestion jugĂ©e insatisfaisante de son signalement par le Microsoft Security Response Center (MSRC). 🔍 DĂ©tails de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ©, baptisĂ©e BlueHammer, est une Ă©lĂ©vation de privilĂšges locale (LPE) sur Windows. Elle combine deux techniques : ...

7 avril 2026 Â· 2 min
Derniùre mise à jour le: 11 juillet 2026 📝