Des pirates ont pénétré dans au moins une organisation en utilisant des vulnérabilités Windows publiées en ligne par un chercheur en sécurité mécontent au cours des deux dernières semaines, selon une société de cybersécurité.
Vendredi, la société de cybersécurité Huntress a déclaré dans une série d’articles sur X que ses chercheurs avaient vu des pirates informatiques profiter de trois failles de sécurité Windows, baptisées BlueHammer, UnDefend et RedSun.
On ne sait pas exactement qui est la cible de cette attaque, ni qui sont les pirates.
BlueHammer est le seul bug parmi les trois vulnérabilités exploitées que Microsoft a corrigées jusqu’à présent. Un correctif pour BlueHammer a été déployé plus tôt cette semaine.
Il semble que les pirates exploitent les bogues en utilisant le code d’exploitation publié en ligne par le chercheur en sécurité.
Plus tôt ce mois-ci, un chercheur du nom de Chaotic Eclipse a publié sur son blog ce qu’il disait être du code permettant d’exploiter une vulnérabilité non corrigée de Windows. Le chercheur a fait allusion à un conflit avec Microsoft comme motivation derrière la publication du code.
« Je n’ai pas bluffé Microsoft et je recommence », ont-ils écrit. « Un grand merci au leadership du MSRC pour avoir rendu cela possible », ont-ils ajouté, faisant référence au Security Response Center de Microsoft, l’équipe de l’entreprise qui enquête sur les cyberattaques et traite les rapports de vulnérabilités.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Quelques jours plus tard, Chaotic Eclipse a publié UnDefend, puis plus tôt cette semaine, RedSun. Le chercheur a publié du code pour exploiter les trois vulnérabilités sur sa page GitHub.
Les trois vulnérabilités affectent l’antivirus Windows Defender créé par Microsoft, permettant à un pirate informatique d’obtenir un accès de haut niveau ou administrateur à un ordinateur Windows affecté.
TechCunch n’a pas pu joindre Chaotic Eclipse pour commenter.
En réponse à une série de questions spécifiques, le directeur des communications de Microsoft, Ben Hope, a déclaré dans un communiqué que la société soutenait « la divulgation coordonnée des vulnérabilités, une pratique largement adoptée par l’industrie qui permet de garantir que les problèmes sont soigneusement étudiés et résolus avant leur divulgation publique, soutenant à la fois la protection des clients et la communauté de recherche en sécurité ».
Il s’agit d’un cas de ce que l’industrie de la cybersécurité appelle la « divulgation complète ». Lorsque les chercheurs découvrent une faille, ils peuvent la signaler à l’éditeur du logiciel concerné pour l’aider à la corriger. À ce stade, l’entreprise accuse généralement réception et si la vulnérabilité est légitime, elle s’efforce de la corriger. Souvent, l’entreprise et les chercheurs s’accordent sur un calendrier qui fixe le moment où le chercheur peut expliquer publiquement ses conclusions.
Parfois, pour diverses raisons, cette communication est interrompue et les chercheurs divulguent publiquement les détails du bug. Dans certains cas, en partie pour prouver l’existence ou la gravité d’une faille, les chercheurs vont plus loin et publient un code de « preuve de concept » capable d’exploiter ce bug.
Lorsque cela se produit, les cybercriminels, les pirates informatiques gouvernementaux et d’autres peuvent alors prendre le code et l’utiliser pour leurs attaques, ce qui incite les défenseurs de la cybersécurité à se précipiter pour faire face aux conséquences.
« Comme ceux-ci sont si facilement disponibles maintenant et déjà armés pour une utilisation facile, pour le meilleur ou pour le pire, je pense que cela nous met finalement dans un autre match acharné entre les défenseurs et les cybercriminels », a déclaré John Hammond, l’un des chercheurs de Huntress qui a suivi l’affaire, à TechCrunch.
« Des scénarios comme ceux-ci nous amènent à rivaliser avec nos adversaires ; les défenseurs tentent frénétiquement de se protéger contre des acteurs mal intentionnés qui profitent rapidement de ces exploits… surtout maintenant qu’il ne s’agit que d’outils d’attaque prêts à l’emploi », a déclaré Hammond.
