Déjà exploitée après sa publication sur GitHub, la faille BlueHammer franchit un nouveau cap. D’après la CISA, cette vulnérabilité affectant Microsoft Defender est maintenant utilisée dans des campagnes de ransomware.

Après sa divulgation explosive, la faille Windows BlueHammer exploitée par des gangs de ransomware. © SkillUp / Shutterstock
Après sa divulgation explosive, la faille Windows BlueHammer exploitée par des gangs de ransomware. © SkillUp / Shutterstock
Divulguée début avril dans un climat de conflit ouvert entre un chercheur et Microsoft, BlueHammer continue de coûter cher aux machines Windows non mises à jour. La faille, suivie sous la référence CVE-2026-33825, avait d’abord été publiée avec son exploit avant de recevoir un correctif dans le Patch Tuesday d’avril. Elle avait ensuite été repérée dans des attaques réelles, puis ajoutée au catalogue des vulnérabilités exploitées de la CISA. Nouvelle alerte : l’agence états-unienne indique que BlueHammer est désormais mobilisée dans des campagnes de ransomware.
La solution tout-en-un pour protéger votre entreprise
Bitdefender

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

BlueHammer entre dans l’arsenal des rançongiciels

La CISA n’a pas précisé quel groupe de ransomware était à l’œuvre derrière BlueHammer, ni quelles victimes avaient été visées, mais l’ajout de cette mention au catalogue KEV confirme que la faille est désormais utilisée dans des campagnes d’extorsion structurées, et plus seulement dans des attaques opportunistes.

Pour rappel, BlueHammer ne permet pas d’attaquer une machine Windows depuis Internet. Il s’agit d’une faille d’élévation de privilèges locale dans Microsoft Defender. Elle intervient plus tard dans la chaîne d’attaque, quand un pirate dispose déjà d’un accès limité à un poste et cherche à obtenir des droits plus élevés.

Dans une attaque par ransomware, ce type de vulnérabilité peut accélérer la prise de contrôle du système compromis. Une élévation jusqu’aux privilèges SYSTEM donne accès au niveau de droits le plus élevé sur Windows. Les attaquants peuvent alors lancer des commandes plus sensibles, contourner certaines protections, collecter des informations ou préparer la suite de l’attaque sur le réseau. Bref, gagner du terrain une fois l’intrusion engagée.

Une seule priorité : appliquer les dernières mises à jour de sécurité

Microsoft a corrigé BlueHammer le 14 avril dernier, dans le cadre de son Patch Tuesday. Les machines qui ont reçu ce correctif ne devraient donc plus être exposées à CVE-2026-33825.

En revanche, si vous avez retardé l’installation des mises à jour depuis avril, il faut y remédier sans attendre. Rendez-vous dans Windows Update, recherchez les mises à jour disponibles, installez les correctifs proposés, puis redémarrez votre machine. Toujours dans Windows Update, vérifiez aussi que Microsoft Defender a bien reçu ses dernières définitions de sécurité.

En entreprise, il faudra mener des contrôles à l’échelle du parc. Les équipes IT devront vérifier que le correctif d’avril a bien été déployé sur tous les postes et serveurs concernés, y compris les machines rarement connectées à Internet, les postes de test et les environnements hérités. Les systèmes qui seraient restés exposés après la publication du patch doivent aussi faire l’objet d’une recherche d’indices de compromission.

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services