Plusieurs vulnérabilités zero-day affectant Windows et Microsoft Defender suscitent une forte inquiétude dans la communauté sécurité.

Initialement publiées sous forme de preuves de concept (PoC), ces failles sont désormais exploitées dans des attaques réelles, avec un impact potentiellement majeur sur la sécurité des systèmes.

Des zero-day publiées avec code d’exploitation

À l’origine de cette situation, un chercheur en sécurité connu sous le pseudonyme “Chaotic Eclipse” a publié plusieurs exploits fonctionnels.
Jeudi 16 avril 2026, les chercheurs en sécurité de Huntress Labs ont signalé avoir constaté que ces trois failles « zero-day » étaient exploitées dans la nature, la vulnérabilité BlueHammer faisant l’objet d’attaques depuis le 10 avril.

Parmi eux :

• RedSun
• BlueHammer
• UnDefend

Ces vulnérabilités ciblent principalement Microsoft Defender et certains composants internes de Windows.

Ces exploits sont disponibles publiquement, ce qui facilite leur utilisation par des attaquants.

RedSun : une élévation de privilèges jusqu’au niveau SYSTEM

La vulnérabilité RedSun permet une élévation de privilèges locale (LPE).

Concrètement, un attaquant peut :

• partir d’un compte utilisateur standard
• exploiter le comportement de Microsoft Defender
• obtenir les privilèges NT AUTHORITY\SYSTEM

soit le niveau le plus élevé sur Windows.

Cette faille exploite un problème dans la gestion des fichiers par Defender.

Lors de la détection d’un fichier malveillant, le moteur antivirus peut tenter de le manipuler ou de le restaurer.
En utilisant des techniques avancées (jonctions NTFS, redirections de chemin), un attaquant peut détourner cette opération.

Résultat :

• écriture de fichiers dans des dossiers sensibles (ex : System32)
• exécution de code avec privilèges SYSTEM
• prise de contrôle complète du système

Ci-dessous, un exemple de PoC qui permet d’obtenir les privilèges élevés dans Windows (NT Authority\System) :

Fait important : la vulnérabilité RedSun a été rendue encore plus critique par la publication d’un exploit fonctionnel (PoC) accessible publiquement.
Contrairement à une simple description technique, ce code permet à n’importe quel attaquant de reproduire facilement l’élévation de privilèges, ce qui accélère fortement son exploitation dans des attaques réelles.

UnDefend : contourner les protections de Microsoft Defender

Une autre faille, baptisée UnDefend, adopte une approche différente.

Elle permet de :

• bloquer les mises à jour de Microsoft Defender
• altérer certaines protections
• maintenir un système dans un état vulnérable

*Concrètement :

• l’antivirus semble actif
• mais ses capacités de détection sont réduites

Ce type de vulnérabilité est particulièrement dangereux dans des attaques prolongées.

BlueHammer déjà corrigée, mais des failles toujours actives

Microsoft a corrigé la vulnérabilité BlueHammer via les mises à jour récentes.

Cependant :

• RedSun et UnDefend ne sont pas encore corrigées
• des exploitations sont déjà observées

La situation reste donc critique.

Des attaques déjà observées dans la nature

Ces vulnérabilités ne sont plus théoriques.

Des chercheurs en sécurité confirment leur utilisation dans des attaques réelles, notamment pour :

• obtenir des privilèges SYSTEM
• désactiver les protections
• installer des malwares persistants

Ce type d’attaque correspond à une phase classique :

• accès initial (phishing, malware…)
• élévation de privilèges (LPE)
• prise de contrôle du système

Un problème potentiellement structurel

L’enchaînement de ces vulnérabilités met en évidence un point important : le problème ne semble pas isolé.

Ces failles exploitent toutes :

• des opérations internes réalisées avec des privilèges élevés
• des manipulations de fichiers sensibles
• des mécanismes de remédiation mal sécurisés

En clair : le logiciel censé protéger Windows peut, dans certains cas, devenir un vecteur d’attaque.

Pourquoi ces failles sont particulièrement dangereuses

Plusieurs éléments rendent cette situation critique :

• exploits publics disponibles
• exploitation déjà en cours
• absence de correctif pour certaines failles
• cible : Microsoft Defender (présent sur tous les PC Windows)

Cela augmente fortement le risque d’attaques opportunistes.

Quels risques pour les utilisateurs ?

Ces vulnérabilités ne permettent pas une attaque à distance directe.

Mais, elles deviennent critiques dans un scénario courant :

• un malware s’exécute avec des droits limités
• il exploite la faille
• il obtient les privilèges SYSTEM
• il prend le contrôle total du système

C’est une technique largement utilisée dans les attaques modernes.

Que faire en attendant un correctif ?

En l’absence de patch complet, les bonnes pratiques restent essentielles :

• maintenir Windows et Defender à jour
• éviter d’exécuter des fichiers inconnus
• utiliser un compte non administrateur
• surveiller les comportements anormaux

Dans les environnements professionnels :

• renforcer la supervision
• utiliser des solutions EDR
• isoler les systèmes à risque

Conclusion

Les vulnérabilités RedSun et UnDefend illustrent une réalité importante : même les outils de sécurité peuvent devenir des points faibles

Avec des exploits publics et une exploitation déjà active, ces zero-day représentent un risque sérieux pour les systèmes Windows.

La vigilance reste essentielle, en attendant que Microsoft publie des correctifs complets.e essentielle, en attendant que Microsoft publie des correctifs pour ces failles critiques.

L’article Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques est apparu en premier sur malekal.com.

Cette année, les certificats Secure Boot de votre PC arrivent à expiration, avec des conséquences directes sur la sécurité de votre système. Ces certificats sont en effet au cœur du démarrage sécurisé (Secure Boot), une fonctionnalité de sécurité essentielle présente sur tous les ordinateurs modernes qui vérifie, dès l’allumage, que tous les programmes qui se … Lire la suite

Source