L’alerte est donnée par la Cybersecurity and Infrastructure Security Agency (CISA) américaine : la faille de sécurité surnommée BlueHammer, identifiée sous la référence CVE-2026-33825, est désormais exploitée par des groupes criminels spécialisés dans les ransomwares. Cette vulnérabilité, qui affecte l’antivirus Microsoft Defender intégré par défaut aux systèmes Windows, avait été corrigée par l’éditeur lors de son Patch Tuesday d’avril 2026.
Un correctif insuffisamment déployé
D’après les informations recueillies, la faille se situe dans le processus de nettoyage automatique de Defender, chargé de supprimer les fichiers infectés dès leur détection. En soumettant un document piégé, un attaquant peut tromper l’antivirus et exécuter du code malveillant sur la machine cible. Le chercheur à l’origine de la découverte, qui se présente sous le pseudonyme Nightmare Eclipse, avait publié plusieurs méthodes d’exploitation sur la plateforme GitHub avant que Microsoft ne déploie un correctif. Cette divulgation précoce, intervenue dans un contexte de tensions entre le chercheur et la firme de Redmond, a offert aux cybercriminels une fenêtre d’opportunité.
Peu après la publication du correctif, des chercheurs en sécurité de l’entreprise Huntress Labs avaient déjà observé des tentatives d’exploitation de BlueHammer dans des cyberattaques coordonnées. La CISA avait alors inscrit cette vulnérabilité à son catalogue des failles activement exploitées et avait ordonné aux agences fédérales civiles américaines d’appliquer le correctif avant le 7 mai 2026.
Des attaques par rançongiciel en cours
Ce n’est que courant juin que l’agence fédérale a constaté un changement d’échelle dans l’utilisation de cette faille. Des gangs de ransomware, dont l’identité précise n’a pas été divulguée, auraient intégré BlueHammer à leur arsenal pour pénétrer les systèmes non mis à jour. L’exploitation de cette vulnérabilité leur permet de déployer leur charge utile malveillante en contournant la protection de l’antivirus Microsoft Defender.
La CISA, dans son analyse, considère que ce type de vulnérabilité représente un vecteur d’attaque fréquent pour les cybercriminels et constitue un risque majeur, non seulement pour les institutions fédérales, mais aussi pour les entreprises et les particuliers. L’agence exhorte donc les administrateurs systèmes et les utilisateurs à vérifier que les derniers correctifs de Microsoft sont bien installés sur toutes les machines Windows.
Une recommandation sans équivoque
Face à cette menace en évolution, la priorité absolue est de s’assurer que le système d’exploitation et l’antivirus Defender sont à jour. Les experts en cybersécurité rappellent que les correctifs livrés lors du Patch Tuesday d’avril couvrent cette vulnérabilité. Les organisations sont également encouragées à renforcer leurs protocoles de détection d’intrusion et à surveiller les tentatives d’exécution de code non autorisées.
La faille BlueHammer illustre les risques liés à la divulgation publique d’exploits avant que les correctifs ne soient largement déployés, tout en soulignant l’importance d’une gestion rigoureuse des mises à jour de sécurité dans un environnement où les ransomwares continuent de cibler les systèmes les moins protégés.