Microsoft - CVE-2026-33825
Date de publication :
Il s'agit d'une vulnérabilité dans la plateforme anti-programme malveillant de Microsoft Defender (composant MsMpEng.exe).
Microsoft Defender est la solution antimalware intégrée à Windows. Elle assure une protection en temps réel contre les virus, logiciels malveillants et autres menaces, via une plateforme anti-programme malveillant (MsMpEng.exe) composée de binaires en mode utilisateur et de pilotes en mode noyau.
Un contrôle d'accès d'une granularité insuffisante sur les opérations de fichiers effectuées lors de la remédiation de menaces permet à un attaquant local de détourner ces opérations via une race condition de type TOCTOU (time-of-check to time-of-use). L'exploit public connu sous le nom de "BlueHammer" abuse d'un oplock batch pour mettre en pause l'opération de fichier de Defender, puis substitue un point de jonction NTFS redirigeant le chemin cible vers le répertoire System32 de Windows. Defender reprend alors l'opération avec ses privilèges SYSTEM en suivant la jonction.
Elle permet à un attaquant local disposant de faibles privilèges d'écraser des fichiers système et d'obtenir une exécution de code avec des privilèges SYSTEM.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Élévation de privilèges
Exploitation
CWE-1220 : Insufficient Granularity of Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Microsoft Defender Antimalware Platform versions 4.18.26020.6 et antérieures, sur toutes les versions de Windows prises en charge.