Publiée sur fond de conflit ouvert entre un chercheur et Microsoft, BlueHammer n’aura pas mis longtemps à sortir des dépôts GitHub pour compromettre des machines Windows au cours d’attaques bien réelles.
À force de jouer avec le feu, ce qui devait arriver arriva. Publiée début avril dans un climat déjà très tendu entre son auteur et Microsoft, BlueHammer a quitté le terrain du PoC pour celui des attaques bien réelles. D’après les équipes d’Huntress, la faille serait exploitée depuis le 10 avril, soit quelques jours avant la diffusion de son correctif lors du dernier Patch Tuesday. Plus préoccupant encore, les chercheurs disent aussi avoir repéré RedSun et UnDefend, deux autres PoC divulgués par le même chercheur dans des conditions tout aussi peu responsables.
Trois failles divulguées, une même compromission
Pour rappel, BlueHammer et RedSun sont deux failles d’élévation de privilèges locale, la première visant Windows, la seconde Microsoft Defender, tandis qu’UnDefend permet à un utilisateur sans droits administrateur de bloquer les mises à jour des définitions de l’antivirus. Les preuves de concept associées à ces trois failles avaient été publiées sur GitHub par un chercheur répondant aux pseudonymes de Nightmare Eclipse et Chaotic Eclipse, sur fond de conflit ouvert avec Microsoft.
Dans le détail, les équipes d’Huntress disent avoir retrouvé plusieurs artefacts associés à l’exécution de ces outils dans le dossier Images d’un compte à faibles privilèges, mais aussi dans des sous-dossiers du répertoire Téléchargements. Les chercheurs évoquent notamment des exécutables déposés sur la machine, ainsi que des commandes classiques lancées pour faire l’inventaire du système, comme whoami /priv, cmdkey /list ou net group, soit autant d’indices renvoyant à une activité directe de l’attaquant sur le poste, et laissant penser que BlueHammer, RedSun et UnDefend ont bien été mobilisés au cours d’une même compromission.
Si BlueHammer a, depuis, reçu un correctif via le Patch Tuesday d’avril, ce n’est toujours pas le cas de RedSun et d’UnDefend.
Un dérapage prévisible
Au vu du contexte, difficile de se dire surpris. Nightmare Eclipse était remonté comme un coucou, le bras de fer avec Microsoft s’est envenimé, et les divulgations se sont enchaînées les unes après les autres, avec force détails facilitant l’exploitation des failles mises au jour. Plus étrange, en revanche, de retrouver les trois dans la même séquence d’attaque.
Sollicité par BleepingComputer, Microsoft s’est contenté de rappeler ses engagements à enquêter sur les problèmes signalés et son attachement à la divulgation coordonnée. Un principe qui n’a manifestement pas résisté à l’escalade.
Une faille d’élévation de privilèges locale (Local Privilege Escalation) permet à un attaquant déjà présent sur une machine, ou à un utilisateur avec peu de droits, d’obtenir des permissions plus élevées (jusqu’aux droits administrateur ou SYSTEM). Elle ne sert généralement pas à entrer initialement dans le système, mais à “verrouiller” la prise de contrôle une fois un premier accès obtenu. Concrètement, cela ouvre la porte à des actions normalement interdites : désactiver des protections, accéder à des données sensibles, installer des services persistants ou modifier des paramètres de sécurité. C’est une brique très recherchée dans les chaînes d’attaque, car elle transforme un accès limité en compromission sérieuse. Elle se combine souvent avec d’autres techniques (phishing, malware, accès RDP) qui fournissent l’entrée initiale.
À quoi sert un PoC (preuve de concept) de faille, et pourquoi sa publication peut accélérer les attaques ?Un PoC est un code ou une procédure qui démontre qu’une vulnérabilité est exploitable, en reproduisant l’impact de façon concrète. Pour les défenseurs, il aide à valider le risque, tester des correctifs et bâtir des détections. Pour les attaquants, il peut faire gagner un temps considérable : le PoC fournit parfois la logique d’exploitation, les prérequis et les commandes utiles. Même si un PoC n’est pas toujours “prêt à l’emploi”, il suffit souvent de petites adaptations pour en faire un outil opérationnel. Le risque augmente quand la publication intervient avant qu’un correctif soit largement disponible ou déployé.
Pourquoi bloquer les mises à jour des signatures Microsoft Defender est un enjeu de sécurité majeur ?Les “définitions” (ou signatures) de Microsoft Defender sont les fichiers et règles qui permettent à l’antivirus de reconnaître de nouvelles menaces et variantes de malware. Si un attaquant parvient à empêcher leur mise à jour, la machine peut rester aveugle à des familles de malwares récentes, malgré un antivirus officiellement actif. Cela facilite l’exécution de charges malveillantes, la persistance et la discrétion, en réduisant les chances de détection lors d’analyses. Ce type de sabotage est particulièrement critique dans un environnement où les correctifs système et les protections endpoint ne sont pas déployés simultanément. En pratique, c’est une façon de dégrader la posture de sécurité sans forcément déclencher d’alerte évidente pour l’utilisateur.
