Une nouvelle faille de sécurité visant BitLocker inquiète actuellement la communauté cybersécurité. Un chercheur a publié un exploit Proof of Concept (PoC) baptisé « YellowKey » qui permettrait de contourner la protection BitLocker sur certains systèmes Windows 11 et Windows Server.

Le problème est particulièrement sensible car BitLocker est aujourd’hui activé par défaut sur de nombreux PC Windows 11 afin de protéger les données en cas de vol ou d’accès physique au disque.

Une faille BitLocker exploitée via une clé USB

Selon les informations publiées par BleepingComputer et Tom’s Hardware, la faille exploite le fonctionnement de l’environnement de récupération Windows (WinRE).

Le scénario est relativement simple :

• des fichiers spécifiques sont copiés sur une clé USB
• le PC démarre dans l’environnement WinRE
• l’exploit déclenche ensuite une invite de commande élevée
• le disque BitLocker devient accessible sans demander la clé de récupération

Le chercheur affirme que la faille fonctionne notamment sur :

• Windows 11
• Windows Server 2022
• Windows Server 2025

Windows 10 ne semblerait pas concerné selon les premiers tests.

Une attaque nécessitant un accès physique

Le point important est que cette vulnérabilité nécessite un accès physique à la machine.

L’attaquant doit pouvoir :

• accéder au PC
• brancher une clé USB
• démarrer dans l’environnement de récupération Windows

Il ne s’agit donc pas d’une faille exploitable à distance via Internet.

Cependant, cela reste problématique pour :

• les ordinateurs portables volés
• les machines d’entreprise
• les serveurs physiquement accessibles
• les postes sensibles utilisant uniquement TPM sans PIN BitLocker

Le chercheur Kevin Beaumont a confirmé avoir reproduit le problème sur certains systèmes.

BitLocker et WinRE au cœur du problème

La faille exploiterait le fait que certains composants WinRE conservent un accès au volume déchiffré pendant certaines phases de récupération système ou de démarrage.

Le PoC utiliserait notamment :

• des transactions NTFS
• des fichiers spéciaux placés dans System Volume Information
• des mécanismes internes liés à WinRE

Cela permettrait de contourner certaines protections BitLocker sur des configurations TPM-only.

Les configurations utilisant TPM + PIN pourraient être mieux protégées, même si le chercheur affirme disposer d’autres variantes non publiées.

Microsoft n’a pas encore publié de correctif

À l’heure actuelle, Microsoft n’a pas encore publié de correctif officiel ni attribué de CVE publique à YellowKey.

Le contexte est également particulier car le chercheur « Chaotic Eclipse » avait déjà publié récemment plusieurs zero-days Windows après avoir accusé Microsoft d’avoir ignoré certains rapports de sécurité.

Parmi les précédentes vulnérabilités publiées :

• BlueHammer
• RedSun
• UnDefend
• GreenPlasma

Microsoft avait finalement corrigé discrètement certaines d’entre elles après publication publique des PoC.

BitLocker a déjà connu plusieurs problèmes récents

Cette nouvelle vulnérabilité intervient alors que BitLocker a déjà rencontré plusieurs incidents ces derniers mois.

Récemment, certaines mises à jour Windows 11 comme KB5083769 et KB5082052 provoquaient des demandes inattendues de récupération BitLocker sur certains PC après modification des fichiers de démarrage et des paramètres TPM/PCR7.

Microsoft a depuis publié des correctifs pour Windows 11 25H2 avec KB5089549 afin de résoudre ces problèmes de récupération forcée. notre précédent article sur les problèmes BitLocker liés aux mises à jour KB5083769 et KB5082052

Ces incidents montrent à quel point BitLocker dépend fortement :

• du TPM
• du Secure Boot
• des PCR UEFI
• de WinRE
• de la chaîne de démarrage Windows

Toute modification dans ces composants peut avoir un impact direct sur le mécanisme de protection des volumes.

Faut-il désactiver BitLocker ?

Pour le moment, non.

Même avec cette faille, BitLocker reste une protection importante contre :

• le vol de données
• l’accès direct au disque
• les attaques hors ligne classiques

En revanche, cette affaire rappelle qu’un chiffrement disque dépend aussi :

• de la sécurité du firmware
• du TPM
• de l’environnement de récupération
• de la configuration de démarrage

Les administrateurs et utilisateurs sensibles peuvent envisager plusieurs mesures complémentaires :

• utiliser BitLocker avec TPM + PIN
• protéger l’accès BIOS/UEFI par mot de passe
• désactiver le boot USB si possible
• surveiller les futures mises à jour Microsoft

L’article Une faille BitLocker permettrait d’accéder à des disques chiffrés Windows : un PoC publié est apparu en premier sur malekal.com.

Si vous utilisez le gestionnaire de mots de passe intégré à Microsoft Edge, et que vous le trouvez cool, hé bien accrochez-vous les amis, car Tom Jøran Sønstebyseter Rønning, chercheur norvégien en cybersécurité, vient de publier sur GitHub un PoC qui dump TOUS vos credentials en clair directement depuis la mémoire du processus du navigateur ! Et de ce que j'ai compris, Microsoft a l'air d'assumer ça tranquillou...

Et n'allez pas croire qu'activer "l'Authentification avant remplissage automatique" dans Edge règle le souci... Ça ne change absolument RIEN au problème, parce que les credentials sont chargés en clair en RAM dès l'ouverture du navigateur. Cette option bloque uniquement l'interface, et pas la mémoire. La seule vraie parade, c'est donc de basculer carrément vers un gestionnaire de mots de passe comme Bitwarden, KeePassXC, ou Mistikee car tant qu'ils restent verrouillés, ils ne chargent rien en mémoire.

Le PoC, baptisé EdgeSavedPasswordsDumper, tient en un seul fichier C#. Tom a choisi .NET Framework 3.5 plutôt qu'une version récente, parce que AMSI, l'Antimalware Scan Interface qui inspecte en temps réel le code .NET sous Windows, a une couverture vraiment réduite sur la 3.5 par rapport aux versions modernes. Du coup, le binaire passe plus facilement sous les radars des EDR et antivirus.

Plusieurs vulnérabilités zero-day affectant Windows et Microsoft Defender suscitent une forte inquiétude dans la communauté sécurité.

Initialement publiées sous forme de preuves de concept (PoC), ces failles sont désormais exploitées dans des attaques réelles, avec un impact potentiellement majeur sur la sécurité des systèmes.

Des zero-day publiées avec code d’exploitation

À l’origine de cette situation, un chercheur en sécurité connu sous le pseudonyme “Chaotic Eclipse” a publié plusieurs exploits fonctionnels.
Jeudi 16 avril 2026, les chercheurs en sécurité de Huntress Labs ont signalé avoir constaté que ces trois failles « zero-day » étaient exploitées dans la nature, la vulnérabilité BlueHammer faisant l’objet d’attaques depuis le 10 avril.

Parmi eux :

• RedSun
• BlueHammer
• UnDefend

Ces vulnérabilités ciblent principalement Microsoft Defender et certains composants internes de Windows.

Ces exploits sont disponibles publiquement, ce qui facilite leur utilisation par des attaquants.

RedSun : une élévation de privilèges jusqu’au niveau SYSTEM

La vulnérabilité RedSun permet une élévation de privilèges locale (LPE).

Concrètement, un attaquant peut :

• partir d’un compte utilisateur standard
• exploiter le comportement de Microsoft Defender
• obtenir les privilèges NT AUTHORITY\SYSTEM

soit le niveau le plus élevé sur Windows.

Cette faille exploite un problème dans la gestion des fichiers par Defender.

Lors de la détection d’un fichier malveillant, le moteur antivirus peut tenter de le manipuler ou de le restaurer.
En utilisant des techniques avancées (jonctions NTFS, redirections de chemin), un attaquant peut détourner cette opération.

Résultat :

• écriture de fichiers dans des dossiers sensibles (ex : System32)
• exécution de code avec privilèges SYSTEM
• prise de contrôle complète du système

Ci-dessous, un exemple de PoC qui permet d’obtenir les privilèges élevés dans Windows (NT Authority\System) :

Fait important : la vulnérabilité RedSun a été rendue encore plus critique par la publication d’un exploit fonctionnel (PoC) accessible publiquement.
Contrairement à une simple description technique, ce code permet à n’importe quel attaquant de reproduire facilement l’élévation de privilèges, ce qui accélère fortement son exploitation dans des attaques réelles.

UnDefend : contourner les protections de Microsoft Defender

Une autre faille, baptisée UnDefend, adopte une approche différente.

Elle permet de :

• bloquer les mises à jour de Microsoft Defender
• altérer certaines protections
• maintenir un système dans un état vulnérable

*Concrètement :

• l’antivirus semble actif
• mais ses capacités de détection sont réduites

Ce type de vulnérabilité est particulièrement dangereux dans des attaques prolongées.

BlueHammer déjà corrigée, mais des failles toujours actives

Microsoft a corrigé la vulnérabilité BlueHammer via les mises à jour récentes.

Cependant :

• RedSun et UnDefend ne sont pas encore corrigées
• des exploitations sont déjà observées

La situation reste donc critique.

Des attaques déjà observées dans la nature

Ces vulnérabilités ne sont plus théoriques.

Des chercheurs en sécurité confirment leur utilisation dans des attaques réelles, notamment pour :

• obtenir des privilèges SYSTEM
• désactiver les protections
• installer des malwares persistants

Ce type d’attaque correspond à une phase classique :

• accès initial (phishing, malware…)
• élévation de privilèges (LPE)
• prise de contrôle du système

Un problème potentiellement structurel

L’enchaînement de ces vulnérabilités met en évidence un point important : le problème ne semble pas isolé.

Ces failles exploitent toutes :

• des opérations internes réalisées avec des privilèges élevés
• des manipulations de fichiers sensibles
• des mécanismes de remédiation mal sécurisés

En clair : le logiciel censé protéger Windows peut, dans certains cas, devenir un vecteur d’attaque.

Pourquoi ces failles sont particulièrement dangereuses

Plusieurs éléments rendent cette situation critique :

• exploits publics disponibles
• exploitation déjà en cours
• absence de correctif pour certaines failles
• cible : Microsoft Defender (présent sur tous les PC Windows)

Cela augmente fortement le risque d’attaques opportunistes.

Quels risques pour les utilisateurs ?

Ces vulnérabilités ne permettent pas une attaque à distance directe.

Mais, elles deviennent critiques dans un scénario courant :

• un malware s’exécute avec des droits limités
• il exploite la faille
• il obtient les privilèges SYSTEM
• il prend le contrôle total du système

C’est une technique largement utilisée dans les attaques modernes.

Que faire en attendant un correctif ?

En l’absence de patch complet, les bonnes pratiques restent essentielles :

• maintenir Windows et Defender à jour
• éviter d’exécuter des fichiers inconnus
• utiliser un compte non administrateur
• surveiller les comportements anormaux

Dans les environnements professionnels :

• renforcer la supervision
• utiliser des solutions EDR
• isoler les systèmes à risque

Conclusion

Les vulnérabilités RedSun et UnDefend illustrent une réalité importante : même les outils de sécurité peuvent devenir des points faibles

Avec des exploits publics et une exploitation déjà active, ces zero-day représentent un risque sérieux pour les systèmes Windows.

La vigilance reste essentielle, en attendant que Microsoft publie des correctifs complets.e essentielle, en attendant que Microsoft publie des correctifs pour ces failles critiques.

L’article Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques est apparu en premier sur malekal.com.

Cette année, les certificats Secure Boot de votre PC arrivent à expiration, avec des conséquences directes sur la sécurité de votre système. Ces certificats sont en effet au cœur du démarrage sécurisé (Secure Boot), une fonctionnalité de sécurité essentielle présente sur tous les ordinateurs modernes qui vérifie, dès l’allumage, que tous les programmes qui se … Lire la suite

Source