Microsoft a commencé à déployer des correctifs de sécurité pour deux vulnérabilités de son antivirus Defender. Ces failles ont été exploités dans des attaques zero-day.
La première, identifiée comme CVE-2026-41091, concerne un problème d’élévation de privilèges. Elle affecte le moteur de protection contre les logiciels malveillants de Microsoft, version 1.1.26030.3008 et antérieures. Ce moteur est utilisé pour les fonctionnalités de scan, de détection et de nettoyage des logiciels antivirus et anti-espion de Microsoft.
La faille provient d’une résolution incorrecte des liens avant l’accès aux fichiers. Cette erreur permet aux attaquants d’obtenir les privilèges système, soit le niveau SYSTEM.
La seconde vulnérabilité, CVE-2026-45498, touche les systèmes qui utilisent la plateforme antimalware Microsoft Defender version 4.18.26030.3011 et antérieures. Cette suite de outils de sécurité est aussi employée par System Center Endpoint Protection, System Center 2012 R2 Endpoint Protection, System Center 2012 Endpoint Protection et Security Essentials.
Microsoft indique que son exploitation réussie permet aux acteurs malveillants de provoquer un état de déni de service sur les appareils Windows qui ne sont pas corrigés.
Pour résoudre ces deux failles, Microsoft a publié les versions 1.1.26040.8 et 4.18.26040.7 du moteur de protection contre les logiciels malveillants. L’entreprise précise que les clients ne devraient pas avoir à agir pour sécuriser leurs systèmes, car la configuration standard des logiciels antimalware de Microsoft garantit que les définitions de malware et la plateforme Windows Defender Antimalware sont maintenues à jour automatiquement.
Les utilisateurs doivent cependant vérifier que les mises à jour de la plateforme Windows Defender Antimalware et les définitions de malware sont configurées pour s’installer automatiquement. Ils peuvent aussi confirmer l’installation de la mise à jour en suivant ces étapes:
- Ouvrez le programme Sécurité Windows. Par exemple, tapez « Sécurité » dans la barre de recherche, puis sélectionnez le programme Sécurité Windows.
- Dans le panneau de navigation, sélectionnez Protection contre les virus et les menaces.
- Cliquez ensuite sur Mises à jour de la protection dans la section Protection contre les virus et les menaces.
- Sélectionnez Vérifier les mises à jour.
- Dans le panneau de navigation, sélectionnez Paramètres, puis À propos de.
- Examinez le numéro de la version du client Antimalware. La mise à jour a été installée avec succès si le numéro de version de la plateforme de protection contre les logiciels malveillants ou le numéro de version du package de signatures correspond ou dépasse le numéro de version que vous essayez de vérifier.
L’agence américaine CISA, qui est la Cybersecurity and Infrastructure Security Agency, a aussi ordonné aux agences gouvernementales de sécuriser leurs systèmes Windows contre ces deux vulnérabilités zero-day de Microsoft Defender. L’agence a averti qu’ils sont exploités activement.
Le CISA les a ajoutées à son catalogue des vulnérabilités exploités connues. L’agence a ordonné aux agences du secteur exécutif civil fédéral de sécuriser leurs points de terminaison et serveurs Windows dans un délai de deux semaines, soit avant le 3 juin. Cette directive suit les instructions de la directive opérationnelle obligatoire 22-01.
L’agence de cybersécurité américaine a déclaré que ce type de vulnérabilité est un vecteur d’attaque fréquent pour les acteurs cybermalveillants et présente des risques importants pour l’administration fédérale.
Elle recommande d’appliquer les mesures de mitigation selon les instructions du fournisseur, de suivre les directives applicables de la directive opérationnelle obligatoire 22-01 pour les services cloud, ou de ne plus utiliser le produit si les mesures de mitigation ne sont pas disponibles.