Déjà exploitée après sa publication sur GitHub, la faille BlueHammer franchit un nouveau cap. D’après la CISA, cette vulnérabilité affectant Microsoft Defender est maintenant utilisée dans des campagnes de ransomware.

La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
BlueHammer entre dans l’arsenal des rançongiciels
La CISA n’a pas précisé quel groupe de ransomware était à l’œuvre derrière BlueHammer, ni quelles victimes avaient été visées, mais l’ajout de cette mention au catalogue KEV confirme que la faille est désormais utilisée dans des campagnes d’extorsion structurées, et plus seulement dans des attaques opportunistes.
Pour rappel, BlueHammer ne permet pas d’attaquer une machine Windows depuis Internet. Il s’agit d’une faille d’élévation de privilèges locale dans Microsoft Defender. Elle intervient plus tard dans la chaîne d’attaque, quand un pirate dispose déjà d’un accès limité à un poste et cherche à obtenir des droits plus élevés.
Dans une attaque par ransomware, ce type de vulnérabilité peut accélérer la prise de contrôle du système compromis. Une élévation jusqu’aux privilèges SYSTEM donne accès au niveau de droits le plus élevé sur Windows. Les attaquants peuvent alors lancer des commandes plus sensibles, contourner certaines protections, collecter des informations ou préparer la suite de l’attaque sur le réseau. Bref, gagner du terrain une fois l’intrusion engagée.
Une seule priorité : appliquer les dernières mises à jour de sécurité
En revanche, si vous avez retardé l’installation des mises à jour depuis avril, il faut y remédier sans attendre. Rendez-vous dans Windows Update, recherchez les mises à jour disponibles, installez les correctifs proposés, puis redémarrez votre machine. Toujours dans Windows Update, vérifiez aussi que Microsoft Defender a bien reçu ses dernières définitions de sécurité.
En entreprise, il faudra mener des contrôles à l’échelle du parc. Les équipes IT devront vérifier que le correctif d’avril a bien été déployé sur tous les postes et serveurs concernés, y compris les machines rarement connectées à Internet, les postes de test et les environnements hérités. Les systèmes qui seraient restés exposés après la publication du patch doivent aussi faire l’objet d’une recherche d’indices de compromission.