AIO APEX
Security

Des zero-days Windows sont désormais exploitées dans des attaques réelles

BleepingComputer
Partager:
Des zero-days Windows sont désormais exploitées dans des attaques réelles

Trois failles de sécurité Windows révélées récemment sont passées du stade de preuve de concept à des attaques réelles, selon de nouvelles observations de Huntress. C'est important, car deux de ces problèmes n'ont toujours pas de correctif complet de Microsoft, tandis que le troisième vient seulement d'être corrigé dans les mises à jour d'avril.

Ce que les attaquants utilisent

L'activité s'articule autour de trois techniques d'exploitation publiées par un chercheur qui a critiqué publiquement le processus de divulgation de Microsoft. Deux visent Microsoft Defender pour obtenir une élévation locale de privilèges, et la troisième peut bloquer les mises à jour de signatures de Defender depuis un compte utilisateur standard.

Huntress indique avoir observé les trois techniques en conditions réelles. Dans une intrusion surveillée, ces exploits sont apparus aux côtés d'une activité manuelle de l'attaquant après la compromission d'un compte SSL VPN.

Pourquoi c'est une information importante

Le point essentiel n'est pas seulement que le code soit public, mais que les attaquants l'opérationnalisent déjà. L'une des failles, suivie sous le nom CVE-2026-33825 et surnommée BlueHammer, a été corrigée. Les deux autres, souvent appelées RedSun et UnDefend, restent sans correctif complet.

Les défenseurs se retrouvent donc dans une zone de risque inconfortable. Même les organisations qui appliquent rapidement les mises à jour de Patch Tuesday peuvent rester exposées si les attaquants enchaînent ces techniques après un accès initial, surtout sur les systèmes où Microsoft Defender est activé par défaut.

Ce que les administrateurs doivent faire maintenant

Les équipes sécurité doivent traiter la situation comme un risque actif d'élévation de privilèges, et non comme un simple scénario théorique. Les priorités sont de revoir les alertes récentes sur les endpoints, de renforcer les points d'entrée distants comme les comptes VPN et de surveiller toute altération de Defender ou toute élévation inattendue vers SYSTEM.

En attendant que Microsoft publie des correctifs pour les problèmes restants, la visibilité et la capacité de confinement comptent plus que d'habitude. Pour les administrateurs Windows, c'est précisément le moment où le durcissement de l'identité et la surveillance des endpoints peuvent éviter une compromission bien plus profonde.

cybersecuritywindowszero-daymicrosoft-defenderprivilege-escalation

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Partager: