ZDNET : Une vulnérabilité zero-day baptisée « BlueHammer » permet à un utilisateur sans privilèges de prendre le contrôle total d’un système Windows en détournant le processus de mise à jour de Microsoft Defender. Sans CVE ni correctif officiel à ce jour, cette faille de conception transforme des outils système légitimes en vecteurs d’escalade de privilèges.

Le 3 avril 2026, un chercheur sous le pseudonyme de « Chaotic Eclipse » a publié sur GitHub un exploit fonctionnel visant Windows Defender.

Contrairement aux cyberattaques classiques, BlueHammer n’utilise aucune corruption de mémoire ni faille de noyau.

Il s’appuie sur une « condition de course » (race condition) entre plusieurs composants officiels de Windows :

L’attaque force Microsoft Defender à créer un cliché instantané (snapshot) du disque lors d’une mise à jour de signatures. En utilisant l’API Cloud Files comme un « bouton pause », l’attaquant bloque Defender au moment précis où les « Registry hives » (SAM, SYSTEM, SECURITY) sont accessibles dans le cliché. Normalement verrouillés, ces fichiers contiennent les secrets d’authentification du système.