// CLUBIC — CYBERSECURITY
Windows 11 : après sa divulgation explosive, la faille BlueHammer exploitée par des gangs de ransomware
Déjà exploitée après sa publication sur GitHub, la faille BlueHammer franchit un nouveau cap. D’après la CISA, cette vulnérabilité affectant Microsoft Defender est maintenant utilisée dans des campagnes de ransomware.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
La CISA n’a pas précisé quel groupe de ransomware était à l’œuvre derrière BlueHammer, ni quelles victimes avaient été visées, mais l’ajout de cette mention au catalogue KEV confirme que la faille est désormais utilisée dans des campagnes d’extorsion structurées, et plus seulement dans des attaques opportunistes.
Pour rappel, BlueHammer ne permet pas d’attaquer une machine Windows depuis Internet. Il s’agit d’une faille d’élévation de privilèges locale dans Microsoft Defender. Elle intervient plus tard dans la chaîne d’attaque, quand un pirate dispose déjà d’un accès limité à un poste et cherche à obtenir des droits plus élevés.
Dans une attaque par ransomware, ce type de vulnérabilité peut accélérer la prise de contrôle du système compromis. Une élévation jusqu’aux privilèges SYSTEM donne accès au niveau de droits le plus élevé sur Windows. Les attaquants peuvent alors lancer des commandes plus sensibles, contourner certaines protections, collecter des informations ou préparer la suite de l’attaque sur le réseau. Bref, gagner du terrain une fois l’intrusion engagée.
En revanche, si vous avez retardé l’installation des mises à jour depuis avril, il faut y remédier sans attendre. Rendez-vous dans Windows Update, recherchez les mises à jour disponibles, installez les correctifs proposés, puis redémarrez votre machine. Toujours dans Windows Update, vérifiez aussi que Microsoft Defender a bien reçu ses dernières définitions de sécurité.
En entreprise, il faudra mener des contrôles à l’échelle du parc. Les équipes IT devront vérifier que le correctif d’avril a bien été déployé sur tous les postes et serveurs concernés, y compris les machines rarement connectées à Internet, les postes de test et les environnements hérités. Les systèmes qui seraient restés exposés après la publication du patch doivent aussi faire l’objet d’une recherche d’indices de compromission.