La CISA a donné un délai de deux semaines aux agences gouvernementales américaines pour renforcer la sécurité de leurs systèmes Windows face à une vulnérabilité de privilège d’escalade, connue sous le nom de CVE-2026-33825, qui a été exploitée dans des attaques de type zero-day.
Cette faille de sécurité, d’une gravité élevée, permet à des acteurs malveillants locaux disposant de faibles privilèges d’obtenir des autorisations SYSTEM sur des dispositifs non corrigés en tirant parti d’un défaut d granularité dans les contrôles d’accès.
Microsoft a corrigé cette vulnérabilité le 14 avril, lors de son Patch Tuesday. Cette mise à jour a été effectuée une semaine après qu’un chercheur en sécurité, utilisant le pseudonyme Chaotic Eclipse, ait nommé la vulnérabilité « BlueHammer » et publié un code d’exploitation en guise de protestation contre la manière dont le Microsoft Security Response Center a géré le processus de divulgation.
Ce chercheur a également révélé une seconde faille d’escalade de privilège dans Microsoft Defender, baptisée « RedSun », ainsi qu’une troisième vulnérabilité, « UnDefend », qui permet d’empêcher des mises à jour des définitions de Defender en tant qu’utilisateur standard.
Lors de cette divulgation, ces trois vulnérabilités étaient considérées comme des zero-days selon la définition de Microsoft, car aucune correction officielle n’était disponible.
En parallèle, des chercheurs de Huntress Labs ont signalé le 16 avril que des attaquants avaient également exploité ces zero-days au cours d’attaques, témoignant d’une activité directe de la part d’acteurs malveillants. Selon le rapport, ces activités semblaient s’inscrire dans un cadre d’intrusion plus large plutôt que de simples tests de preuve de concept.
Huntress a observé un accès suspect à un FortiGate SSL VPN lié à cet environnement compromis, avec une adresse IP localisée en Russie, ainsi qu’une infrastructure suspecte dans d’autres régions.
CISA a ajouté la vulnérabilité BlueHammer à son Known Exploited Vulnerabilities Catalog et a ordonné aux agences de la Federal Civilian Executive Branch de corriger leurs systèmes Windows contre les attaques en cours ciblant CVE-2026-33825 d’ici deux semaines, soit avant le 7 mai.
L’agence a averti que ce type de vulnérabilité constitue une voie d’attaque fréquente pour les acteurs cyber malveillants et représente des risques considérables pour l’ensemble de l’appareil fédéral.
CISA recommande d’appliquer les mesures d’atténuation selon les instructions des fournisseurs, de suivre les conseils pertinents du BOD 22-01 concernant les services cloud, ou d’interrompre l’utilisation du produit si aucune mesure d’atténuation n’est disponible.
Une semaine plus tôt, CISA avait également averti qu’une vulnérabilité d’escalade de privilège dans le Windows Task Host (CVE-2025-60710) permettant aux attaquants d’obtenir des privilèges SYSTEM sur les appareils non corrigés tournant sous Windows 11 et Windows Server 2025 est également activement exploitée.
Une nouvelle exploitation combinant quatre zero-days a réussi à contourner les filtres de rendu et de système d’exploitation. Une vague de nouvelles exploitations est à prévoir.