Les recherches en matière de sécurité débouchent parfois sur des conclusions dérangeantes. Début avril, un chercheur connu sous le nom de Chaotic Eclipse ou Nightmare-Eclipse a publié sur GitHub un code d'exploitation de type « proof-of-concept » exploitant trois failles de Windows Defender — non pas dans le cadre d'une divulgation coordonnée, mais en signe de protestation directe contre la manière dont le Security Response Center de Microsoft avait géré le processus de signalement. En l'espace de deux semaines, Huntress Labs a confirmé que cybercriminels utilisé ces trois exploits contre des entreprises réelles.
Nous ne publions pas cet article dans le but de critiquer Microsoft. Le « Patch Tuesday » restera un rendez-vous régulier dans la gestion des correctifs pour toutes les entreprises utilisant Windows. Ce qui mérite d'être souligné, c'est le problème structurel que ces trois failles mettent en évidence : votre couche endpoint n'est pas un observateur neutre. Elle intervient activement au sein du système de fichiers, et les pirates expérimentés ont appris à exploiter cette intervention à votre détriment.
Voyons en détail ce que fait chaque exploit, comment ils s'enchaînent sur le plan opérationnel, et pourquoi la Vectra AI — notamment grâce à l’interface Respond UX (RUX) et à ses intégrations EDR — est en mesure de détecter cette activité là où endpoint de périmètre et endpoint ne voient rien.
Les trois exploits : ce qu’ils font réellement
BlueHammer (CVE-2026-33825) : une course contre la défense
BlueHammer est une condition de concurrence de type « time-of-check to time-of-use » (TOCTOU) dissimulée au sein du processus de mise à jour des signatures de Windows Defender. L'exploit enchaîne les verrous opportunistes (oplocks), l'API Windows Cloud , les jonctions NTFS et les liens symboliques de l'Object Manager pour détourner une opération de lecture de fichier lancée par Defender, la faisant passer d'une mise à jour de signature légitime vers la ruche de registre SAM sur un instantané de Volume Shadow Copy.
En termes simples : Defender tente de lire un fichier de mise à jour auquel il fait confiance, et un attaquant parvient à exploiter une condition de concurrence qui redirige cette lecture vers une copie de la base de données SAM qui serait normalement inaccessible. Defender effectue la lecture avec ses privilèges SYSTEM et transmet à l'attaquant le contenu de la base de données SAM. À partir de là, l'exploit extrait les hachages NTLM, utilise la technique « pass-the-hash » pour prendre le contrôle d'un compte d'administrateur local, puis lance un shell de niveau SYSTEM.
Pas d'exploitation du noyau. Pas de corruption de mémoire. Juste une exploitation astucieuse de la manière dont Defender interagit avec le système de fichiers lors d'une mise à jour.
RedSun : Le correctif n'a pas résolu le problème
RedSun suit un schéma d'exploitation similaire — API Cloud , oplocks, jonction de répertoires redirigeant une réécriture déclenchée par Defender vers un chemin d'accès système protégé — mais il cible un composant différent : TieringEngineService.exe. Ce qui rend RedSun plus préoccupant sur le plan opérationnel, c'est qu'il fonctionne sur des systèmes Windows 10, Windows 11 et Windows Server 2019 et versions ultérieures entièrement mis à jour, même après les mises à jour du Patch Tuesday d'avril.
L'exploit met à l'épreuve le moteur de protection en temps réel de Defender à l'aide d'une chaîne de test EICAR intégrée. Defender détecte une signature connue, lance un cycle de correction, et RedSun parvient à rediriger la réécriture du fichier qui en résulte. À ce stade, l'infrastructure Cloud exécute le fichier binaire implanté par l'attaquant avec des privilèges SYSTEM.
RedSun n'a pas besoin d'une nouvelle faille de sécurité. Il suffit que Defender soit en marche et fasse son travail. C'est là que le bât blesse.
Le chercheur en sécurité Will Dormann a confirmé que cette faille fonctionnait sur des systèmes entièrement mis à jour, et Huntress a détecté des fichiers binaires placés dans des répertoires d'utilisateurs à faibles privilèges — le dossier « Images » et des sous-dossiers à deux lettres dans le dossier « Téléchargements » — sous des noms de fichiers provenant des dépôts PoC d'origine (FunnyApp.exe, RedSun.exe) ainsi que sous des variantes renommées telles que z.exe.
UnDefend : affaiblir discrètement la couche de défense
UnDefend n'étend pas directement ses privilèges. Il perturbe plutôt le mécanisme de mise à jour des définitions de Defender afin de réduire progressivement, au fil du temps, la précision de détection de la couche endpoint . Lancez-le en tant que processus enfant de cmd.exe sous Explorer et exécutez-le avec l'option -agressive — exactement le schéma observé par Huntress lors d'incidents réels — et vous commencerez à priver Defender des informations de menaces actuelles sans déclencher le type de défaillance majeure qui générerait une alerte évidente.
Cette combinaison revêt une importance opérationnelle. Un attaquant utilise BlueHammer ou RedSun pour obtenir des privilèges SYSTEM, puis déploie UnDefend afin de s'assurer que la couche endpoint devient progressivement moins efficace pour détecter les activités ultérieures. Il s'agit d'une stratégie de dégradation par étapes, et non d'une exploitation ponctuelle.
Les schémas d'attaque observés par la Chasseuse
L'activité observée en milieu réel ne relève pas d'une diffusion automatisée. L'analyse des incidents réalisée par Huntress au 16 avril fait état d'un schéma correspondant à une intrusion manuelle : des commandes d'énumération manuelles avant l'exploitation, notamment « whoami /priv » pour recenser les privilèges actuels. Les fichiers binaires sont délibérément placés dans des répertoires utilisateur peu visibles. Il s'agit d'une intrusion ciblée, et non malware de masse.
Ce contexte a une incidence sur la manière dont les responsables de la sécurité doivent aborder la détection. Un scanner standard recherchant des hachages ou des signatures connus pour être malveillants peut détecter les binaires PoC d'origine. En revanche, un fichier z.exe renommé contenant une chaîne EICAR chiffrée — dont Dormann a démontré qu'elle permettait de réduire facilement les détections sur VirusTotal — ne sera pas détecté. C'est l'empreinte comportementale qui reste constante d'une variante à l'autre.
Le schéma de reconnaissance observé avant l'exploitation — énumération des privilèges, installation délibérée dans des répertoires accessibles en écriture par l'utilisateur, création de processus enfants sous l'Explorateur — est détectable. Non pas au endpoint ciblé, mais au niveau du réseau et de l'identité qui se situent au-dessus.
Quelle est Vectra AI dans ce scénario ?
Les outils Endpoint constituent la cible visée par ces exploits. Il ne s'agit pas là d'une critique à l'encontre de l'EDR, mais d'une description fidèle de la surface d'attaque. Lorsque ces exploits aboutissent, ils opèrent à l'intérieur de la zone de confiance sur laquelle s'appuient endpoint . Pour détecter ce qui se passe ensuite, il faut disposer d'une visibilité qui ne dépende pas de l'intégrité de endpoint .
détection et réponse aux incidents en particulier grâce à la Vectra AI exploitée via RUX — offrent cette visibilité. C'est là que cela fait toute la différence tout au long de la chaîne d'attaque.
Pré-exploitation : énumération comportementale
L'énumération manuelle documentée par Huntress (whoami /priv, inventaire des privilèges) génère des événements liés à l'exécution des processus et à la ligne de commande que les intégrations EDR de Vectra font apparaître sous forme de signaux tiers directement dans RUX. Pour les organisations utilisant CrowdStrike Falcon, la corrélation des processus EDR — dont la version GA a été lancée dans RUX en mars 2026 — identifie automatiquement quel processus sur un endpoint un comportement réseau suspect détecté par Vectra, éliminant ainsi le décalage de corrélation manuelle entre la télémétrie NDR et EDR. L'assemblage Endpoint de Microsoft Defender for Endpoint est prévu pour le premier semestre 2026, et l'intégration MDE existante prend déjà en charge l'enrichissement du contexte de l'hôte et le verrouillage de l'hôte. SentinelOne offre un partage bidirectionnel des métadonnées et une capacité de verrouillage. Pour ces trois solutions, Attack Signal Intelligence ces comportements au niveau de l'hôte avec le contexte réseau du compte et de l'appareil, en appliquant une notation d'urgence qui tient compte des privilèges du compte, de l'étendue des mouvements latéraux et de la vitesse.
Un analyste de RUX ne reçoit pas une simple alerte « whoami ». Il dispose d'une vue d'ensemble hiérarchisée des entités qui présente le compte concerné, les ressources auxquelles il a accédé, l'état de l'énumération des privilèges par rapport à sa ligne de base, ainsi que le score d'urgence — le tout en un seul endroit, sans avoir à passer d'un onglet à l'autre.
Élévation des privilèges : anomalies au niveau des processus sur le réseau
L'exécution d'un processus au niveau SYSTEM à la suite d'une action corrective de Defender génère des anomalies détectables. Un processus lancé avec des privilèges SYSTEM dans le dossier « Images » d'un utilisateur, établissant des connexions sortantes vers une infrastructure à laquelle il n'a pas le droit d'accéder, constitue un cas susceptible d'être détecté par plusieurs modèles Vectra : liaison suspecte entre un processus et le réseau, élévation anormale des privilèges, schémas inhabituels de connexions sortantes.
L'IA de Vectra relie ces signaux en temps réel, indépendamment des changements d'adresses IP et des contextes de session. Au moment où un analyste ouvre l'enquête dans RUX, le graphique de l'attaque est déjà constitué : l'hôte initialement compromis, l'événement d'escalade de privilèges mis en corrélation avec le signal EDR au niveau du processus, ainsi que toutes les connexions latérales initiées à partir de la session dont les privilèges viennent d'être élevés.
UnDefend : la dégradation comme signal de détection
C'est là que l'avantage de NDR se manifeste le plus clairement. Un endpoint dont le fonctionnement est altéré par UnDefend perd progressivement en fiabilité, ce qui signifie que les lacunes en matière de détection s'aggravent au fil du temps au niveau de l'hôte. Vectra ne dépend pas de cet outil pour maintenir sa visibilité. Les profils de référence comportementaux du réseau persistent indépendamment de l'état de santé endpoint .
Concrètement : le fait qu'UnDefend s'exécute en tant que processus enfant de cmd.exe sous Explorer, avec l'option -agressive, constitue le type de relation parent-enfant anormale que les intégrations EDR mettent en évidence au sein de RUX sous forme de détection tierce. Associé aux schémas de suppression des mises à jour sortantes de Defender au niveau de la couche réseau, ce signal devient hautement fiable et permet une enquête rapide.
Réponse : Confinement en un clic
Grâce à la capacité de réponse intégrée de RUX — qui permet de basculer d'un simple clic vers CrowdStrike, Microsoft Defender for Endpoint ou SentinelOne —, un analyste qui identifie un hôte faisant l'objet d'une exploitation active n'a pas besoin de changer de console. Les actions de verrouillage de l'hôte, de suspension du compte et d'isolation du réseau sont accessibles directement depuis la vue d'enquête.
Pour les organisations qui utilisent Vectra MXDR, cette capacité de réaction s'étend à une couverture analytique 24 heures sur 24, 7 jours sur 7. Une tentative d'exploitation à 2 heures du matin un samedi n'attend pas les heures de bureau.
Concrètement, cela signifie
Au moment où nous écrivons ces lignes, deux de ces trois failles n'ont toujours pas fait l'objet d'un correctif. RedSun fonctionne sur des systèmes entièrement mis à jour datant d'avril 2026. Il n'existe aucun correctif pour UnDefend. La fenêtre d'exploitation ne se referme pas rapidement.
Les organisations qui résisteront le mieux à cette période d'exposition sont celles qui disposent d'une visibilité sur le réseau fonctionnant indépendamment de la endpoint . Les schémas comportementaux caractéristiques de ces exploits — énumération des privilèges, anomalies des processus SYSTEM, blocage des mises à jour de Defender, activité inhabituelle entre les processus et le réseau — sont tous détectables grâce aux données de télémétrie réseau et d'identité que la Vectra AI analyse en continu.
Pour les équipes de sécurité qui évaluent leur niveau de protection actuel face à ces menaces spécifiques, la question à se poser est simple : si mon EDR est compromis par RedSun et qu’un accès au niveau du système est établi, quel est mon prochain niveau de détection ? Si la réponse implique un autre outil dépendant de la même endpoint , la faille est bien réelle.
Appliquez tous les correctifs possibles. Installez les mises à jour d'avril 2026 pour contrer BlueHammer. Surveillez les indicateurs comportementaux de RedSun et UnDefend au niveau de la couche réseau. Et assurez-vous que l'outil chargé de surveiller le réseau ne partage pas de périmètre de confiance avec l'outil ciblé.
Découvrez comment Vectra AI les activités post-exploitation
Si vous souhaitez comprendre comment la Vectra AI détecte les escalades de privilèges, les anomalies de processus et les mouvements latéraux au sein d'un environnement en production, voici par où commencer.