Windows Defender : trois zero-days BlueHammer, RedSun et UnDefend exploités depuis le 10 avril 2026 — plan d'action RSSI

— Trois zero-days Defender publiés en représailles au MSRC

Le 8 avril 2026, un chercheur opérant sous le pseudonyme zerosalt a publié sur son blog GitHub trois vulnérabilités critiques affectant Microsoft Defender, le moteur antimalware intégré à Windows 10 et Windows 11. Ces failles, baptisées BlueHammer, RedSun et UnDefend, ont été divulguées en mode full disclosure sans coordination préalable avec Microsoft, en représailles à ce que le chercheur qualifie de traitement abusif de ses précédents signalements par le Microsoft Security Response Center (MSRC).

Le message d'accompagnement de la publication est sans ambiguïté : le chercheur affirme avoir vu ses rapports précédents minimisés, requalifiés en defense-in-depth sans bounty, ou silencieusement corrigés sans attribution. Cette situation rejoint une controverse plus large au sein de la communauté sécurité autour des pratiques de triage du MSRC, déjà critiquées publiquement en 2023, 2024 et 2025 par plusieurs chercheurs indépendants.

Les trois vulnérabilités exploitent le fait que Microsoft Defender, en tant qu'agent antivirus intégré, opère avec des privilèges NT AUTHORITY\SYSTEM pour pouvoir scanner et remédier à n'importe quel fichier du système. Cette posture privilégiée, indispensable à son fonctionnement, devient une arme lorsqu'un attaquant parvient à détourner l'action de remédiation contre le système lui-même.

Chronologie de la divulgation et de l'exploitation

— BlueHammer (CVE-2026-33825) : détournement de la remédiation Defender

La plus documentée des trois failles, BlueHammer, exploite une race condition dans le processus de remédiation de Microsoft Defender. Lorsque Defender détecte un fichier malveillant, il tente de le mettre en quarantaine via un appel vers le service MsMpEng.exe, qui s'exécute avec des privilèges SYSTEM. Entre la détection et la mise en quarantaine, il existe une fenêtre où un attaquant peut substituer le chemin du fichier par un lien symbolique pointant vers un fichier système légitime.

Résultat : Defender, croyant mettre en quarantaine un fichier malveillant, déplace en réalité un fichier système critique vers un dossier contrôlé par l'attaquant. Ce dernier peut ensuite substituer le fichier original par une version modifiée contenant sa charge utile. Au prochain redémarrage ou appel du service, le code de l'attaquant s'exécute avec les privilèges du processus légitime — souvent SYSTEM.

La technique rappelle les attaques historiques contre les antivirus baptisées AV self-defense bypass, mais avec une particularité notable : BlueHammer fonctionne sur des systèmes Windows 10 22H2 et Windows 11 23H2/24H2 entièrement à jour au 9 avril 2026. Le correctif KB5055XX publié lors du Patch Tuesday du 14 avril durcit les contrôles de liens symboliques dans MsMpEng.exe.

RedSun et UnDefend : contournement et désactivation silencieuse

RedSun exploite une faiblesse dans le mécanisme de vérification des signatures du moteur Defender (Windows Defender Emulator Engine) lorsqu'il analyse des binaires compressés avec des packers custom. Une malformation précise du header PE permet à un exécutable malveillant de passer l'analyse statique et l'émulation dynamique sans déclencher d'alerte.

UnDefend est la plus insidieuse : elle permet à un utilisateur local non administrateur de désactiver temporairement la protection en temps réel de Defender pour son propre processus, en exploitant un défaut dans l'API WMI MSFT_MpPreference. Un attaquant qui obtient un pied dans le système peut ainsi ouvrir une fenêtre d'exécution de quelques dizaines de secondes pendant laquelle ses binaires ne seront pas scannés.

— Impact sur les entreprises françaises et les entités NIS2

La France compte, selon les estimations de l'ANSSI et du cabinet Wavestone, plus de 15 000 entités concernées par la directive NIS2 transposée en droit national en 2024. Un pourcentage significatif de ces organisations utilise Microsoft Defender, soit comme couche EDR principale, soit comme antivirus socle combiné à une solution de détection tierce. La publication des trois zero-days modifie instantanément leur profil de risque et leurs obligations déclaratives.

Pour les OIV (Opérateurs d'Importance Vitale) et les OSE/OES (Opérateurs de Services Essentiels), tout incident lié à une exploitation de BlueHammer, RedSun ou UnDefend doit faire l'objet d'une notification à l'ANSSI via le CERT-FR. L'article R.1332-41-10 du Code de la défense et les articles issus de la transposition NIS2 imposent des délais stricts : notification précoce sous 24h, rapport d'incident sous 72h, rapport final sous un mois.

Pour les entités simplement NIS2 (sans statut OIV), les obligations sont similaires mais étalées différemment. La lecture combinée des orientations ANSSI 2025 et de notre audit de périmètre NIS2 permet d'identifier précisément ce qui doit être déclaré, quand, et à qui. L'exploitation confirmée d'une des trois CVE sur un système hébergeant des données critiques rentre très clairement dans le périmètre déclaratif.

— Comment Huntress Labs a confirmé l'exploitation active

Huntress Labs, l'éditeur américain d'une plateforme de détection orientée MSP et PME, a été le premier à publier des preuves d'exploitation. Le 10 avril 2026 au matin, la télémétrie d'un de ses clients a remonté un événement atypique : un processus Defender remédiant un fichier qui se trouvait, quelques millisecondes plus tard, remplacé par un binaire inconnu dans un dossier système. Le pattern correspondait exactement au PoC publié deux jours plus tôt par le chercheur anonyme.

Au cours des 48h suivantes, Huntress a identifié sept incidents similaires chez des clients distincts, répartis entre les États-Unis, le Royaume-Uni et l'Allemagne. Un cas a concerné une PME industrielle allemande, qui entre clairement dans le périmètre NIS2. Huntress n'a pas pour l'instant confirmé d'incident en France, mais l'absence de détection ne signifie pas absence d'exploitation — simplement absence de visibilité.

Les IoC communiqués publiquement incluent la création de liens symboliques inhabituels dans C:\ProgramData\Microsoft\Windows Defender\Quarantine\, la modification de valeurs MSFT_MpPreference via WMI en provenance d'un processus non administrateur, et la présence d'événements Defender Event ID 5007 (modification de configuration) suivis à moins de 60 secondes d'un Event ID 1116 (détection de malware).

— Plan d'action RSSI en 6 axes

1. 1
   Inventaire immédiat

   Lister tous les endpoints Windows 10 et Windows 11. Vérifier la version de la signature Defender (Get-MpComputerStatus) et la présence du KB5055XX d'avril 2026. Identifier les machines en dehors du domaine ou avec un reporting WSUS/Intune défaillant.

2. 2
   Déploiement du Patch Tuesday d'avril

   KB5055XX corrige BlueHammer (CVE-2026-33825). Déployer via WSUS, Intune ou SCCM avec une fenêtre de 72h maximum sur le parc standard, 24h sur les postes privilégiés. Suivre le taux de couverture quotidiennement jusqu'à 100 %.

3. 3
   Règles ASR (Attack Surface Reduction)

   Activer a minima les règles Block credential stealing from LSASS, Block process creations from PSExec and WMI commands, et Block executable files from running unless they meet a prevalence, age, or trusted list criterion. Ces règles atténuent la chaîne d'exploitation même sans correctif de RedSun/UnDefend.

4. 4
   Surveillance SIEM ciblée

   Créer une règle de détection qui alerte dès qu'un Event ID 5007 Defender (modification de configuration) est suivi sous 60 secondes d'un Event ID 1116 (détection). Remonter également les créations de liens symboliques dans C:\ProgramData\Microsoft\Windows Defender\Quarantine\.

5. 5
   Couche EDR tierce sur endpoints privilégiés

   Tant que RedSun et UnDefend restent non patchées, ajouter un EDR tiers (CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint P2, etc.) au moins sur les postes administrateurs, comptables, juridiques et direction. La défense en profondeur n'est plus optionnelle.

6. 6
   Documentation et conformité NIS2

   Mettre à jour le registre de vulnérabilités exploitées, le plan d'action associé et l'analyse d'impact. Préparer les éléments de notification CERT-FR au cas où. Un audit des headers HTTP de vos interfaces d'administration est également pertinent pour limiter la surface d'attaque amont.

— Un signal pour toute la filière cybersécurité

Au-delà du cas Microsoft, la publication coordonnée de BlueHammer, RedSun et UnDefend résonne avec plusieurs analyses sectorielles récentes sur la santé des programmes bug bounty et sur la relation entre éditeurs et chercheurs indépendants. Les équipes de D-Open, qui accompagnent les entreprises sur la gouvernance cyber et la souveraineté numérique, soulignent depuis plusieurs mois la nécessité d'un cadre européen plus clair pour la divulgation responsable, notamment dans le cadre du Cyber Resilience Act.

De leur côté, les spécialistes de Plug-Tech rappellent qu'au-delà du patch, la vraie question est celle de l'architecture : un parc Windows dont la seule ligne de défense est Microsoft Defender est structurellement fragile face à ce type de divulgation. La diversification des moteurs de détection, la segmentation réseau et le principe du moindre privilège restent les fondamentaux.

Pour les RSSI, cet épisode illustre une vérité opérationnelle : la surface d'attaque ne se limite pas au code que vous déployez, elle inclut aussi les décisions de gouvernance que prennent vos fournisseurs critiques. Quand un chercheur estime ne plus avoir d'autre option que le full disclosure pour être entendu, c'est tout l'écosystème qui paie la facture.

Conclusion

Les zero-days BlueHammer, RedSun et UnDefend cumulent trois caractéristiques qui en font un événement majeur pour le paysage cyber français : ils touchent un composant présent sur la quasi-totalité des postes Windows ; leur exploitation active est déjà confirmée par des acteurs crédibles ; deux des trois restent sans correctif public au 21 avril 2026. Les entités NIS2, OIV et OES doivent traiter cette séquence avec la même rigueur qu'un incident majeur, et documenter leur réponse conformément aux exigences de l'ANSSI.

Pour les RSSI qui n'ont pas encore formalisé leur plan, les étapes sont claires : inventorier, patcher, durcir, détecter, doubler la couche, documenter. Notre guide pratique de durcissement Windows Defender en 8 étapes publié le même jour détaille la procédure opérationnelle complète, avec scripts PowerShell et modèles GPO prêts à déployer.