Une faille zero-day touchant Windows Defender, l’antivirus intégré par défaut à Windows, est désormais exploitée publiquement. Des outils publiés sur Internet permettraient d’utiliser Defender lui-même pour compromettre des machines sous Windows 10, Windows 11 et Windows Server 2019.
Le problème aurait été découvert par un chercheur opérant sous le pseudonyme Chaotic Eclipse, après un différend avec Microsoft sur la gestion de la vulnérabilité.
Comment l’attaque fonctionne
La faille viserait le mécanisme de restauration / suppression de fichiers malveillants de Defender. Avec un document spécialement conçu pour déclencher l’analyse de l’antivirus, un attaquant pourrait piéger Defender au moment du nettoyage et parvenir à exécuter du code malveillant sur l’ordinateur ciblé.
Autrement dit, le logiciel censé protéger l’utilisateur devient lui-même le vecteur d’attaque.
Des outils d’exploitation déjà publics
Plusieurs outils ont été publiés sur GitHub :
- BlueHammer : premier exploit rendu public début avril
- RedSun : élévation de privilèges jusqu’au niveau système
- UnDefend : blocage des mises à jour ou désactivation de Defender
Selon plusieurs chercheurs, RedSun fonctionnerait de manière très fiable sur les systèmes à jour d’avril 2026 lorsque Defender est activé.
Des attaques déjà observées
La société Huntress indique que des cybercriminels ont commencé à utiliser ces méthodes dans de véritables attaques contre des entreprises peu après la publication des outils.
Cette situation augmente fortement le niveau de risque, car les exploits sont désormais accessibles publiquement et faciles à réutiliser.
Microsoft n’a pas tout corrigé
Microsoft aurait corrigé une partie des vecteurs exploités par BlueHammer dans les mises à jour d’avril 2026. En revanche, les méthodes utilisées par RedSun et UnDefend resteraient encore exploitables à ce stade.
Que faire immédiatement ?
- Installer toutes les mises à jour Windows disponibles
- Limiter les droits administrateurs locaux
- Bloquer l’exécution de fichiers suspects
- Surveiller toute désactivation de Defender
- Renforcer la détection EDR / SOC
- Former les utilisateurs aux pièces jointes piégées
Cette affaire illustre une nouvelle fois qu’un composant de sécurité largement déployé peut devenir une cible prioritaire lorsqu’une faille critique reste exploitable.