Des zéro-days récemment divulgués sur Windows exploités dans des attaques

La CISA signale la vulnérabilité de Windows Task Host comme exploitée dans des attaques

Des acteurs malveillants exploitent actuellement trois vulnérabilités de sécurité récemment découvertes sur Windows, visant à obtenir des permissions SYSTEM ou des privilèges d’administrateurs élevés.

Depuis le début du mois, un chercheur en sécurité connu sous les pseudonymes « Chaotic Eclipse » ou « Nightmare-Eclipse » a mis en ligne des codes d’exploitation pour les trois failles, critiquant la manière dont le Microsoft Security Response Center (MSRC) a géré le processus de divulgation.

Deux des vulnérabilités, nommées BlueHammer et RedSun, concernent l’escalade de privilèges locaux dans Microsoft Defender, tandis que la troisième, appelée UnDefend, peut être exploitée par un utilisateur standard pour bloquer les mises à jour des définitions de Microsoft Defender.

Au moment de leur divulgation, ces failles étaient considérées comme des zero-days par Microsoft, car aucune mise à jour officielle n’était disponible pour y remédier.

Des chercheurs de Huntress Labs ont rapporté avoir observé les trois exploits de type zero-day en action, notant que la vulnérabilité BlueHammer était exploitée depuis le 10 avril.

Ils ont également détecté des exploits UnDefend et RedSun sur un dispositif Windows compromis via un utilisateur SSLVPN, ce qui a montré des activités typiques de « menace avec accès direct ».

« Le SOC de Huntress surveille l’utilisation des techniques d’exploitation BlueHammer, RedSun et UnDefend de Nightmare-Eclipse, » ont déclaré les chercheurs.

Huntress Labs tweet

​Deux zero-days toujours sans correctif

Bien que Microsoft suive désormais la vulnérabilité BlueHammer sous la référence CVE-2026-33825, avec un correctif fourni dans les mises à jour de sécurité d’avril 2026, les deux autres failles restent à corriger.

Comme le rapportait BleepingComputer, l’exploit RedSun permet aux attaquants d’acquérir des privilèges SYSTEM sur Windows 10, Windows 11 et Windows Server 2019 et versions ultérieures, même après avoir appliqué les correctifs du Patch Tuesday d’avril.

« Lorsque Windows Defender détecte qu’un fichier malveillant a une étiquette cloud, pour des raisons considérées comme absurdement drôles, l’antivirus censé protéger décide de réécrire le fichier dans son emplacement d’origine, » a expliqué le chercheur. « Le PoC exploite ce comportement pour écraser des fichiers système et obtenir des privilèges administratifs. »

« Microsoft s’engage à rechercher les problèmes de sécurité signalés et à mettre à jour les dispositifs concernés pour protéger ses clients dans les plus brefs délais, » a déclaré un porte-parole de Microsoft à BleepingComputer, abordant les problèmes de divulgation évoqués par le chercheur anonyme.

« Nous soutenons également la divulgation coordonnée des vulnérabilités, une pratique largement adoptée dans l’industrie, qui veille à ce que les problèmes soient examinés et traités avec soin avant divulgation publique, protégeant ainsi les clients et la communauté de recherche en sécurité. »