Un chercheur en sécurité a publié une nouvelle faille zero-day pour Microsoft Defender, qu’il a baptisée « RoguePlanet ». Cette publication intervient quelques heures seulement après que Microsoft a corrigé deux autres vulnérabilités lors du « Patch Tuesday » de juin 2026.
Le chercheur, connu sous le pseudonyme Nightmare Eclipse, affirme que cette nouvelle vulnérabilité touche les appareils Windows 10 et Windows 11 qui sont entièrement à jour. Elle permet à un attaquant d’ouvrir une fenêtre d’invite de commandes avec les privilèges SYSTEM. Ce résultat est obtenu en exploitant une condition de concurrence dans le logiciel antivirus de Microsoft.
Le chercheur a partagé un code de preuve de concept sur un dépôt Git qu’il héberge lui-même. Il a expliqué que ses dépôts précédents, hébergés sur GitHub et GitLab, avaient été supprimés par Microsoft.
« L’exploitation repose sur une condition de concurrence, donc c’est une question de chance. J’ai réussi à obtenir un taux de réussite de 100 % sur certaines machines, alors que sur d’autres, cela n’a pas fonctionné », a écrit Nightmare Eclipse.
La faille aurait été testée sur les versions officielles et Canary de Windows 11, ainsi que sur des systèmes Windows 10 où les mises à jour de sécurité de juin 2026 étaient installées. En cas de succès, une fenêtre d’invite de commandes Windows s’ouvre avec les privilèges les plus élevés.
La société de cybersécurité ThreatLocker a indiqué à BleepingComputer qu’elle avait reproduit la faille avec succès lors de ses tests. Elle a confirmé que l’exploit fonctionnait sur des systèmes Windows 11 entièrement patchés avec la mise à jour KB5094126. La firme a partagé une vidéo qui le démontre.
« Notre analyse initiale confirme que l’exploit RoguePlanet est viable et qu’il se comporte comme décrit. Les organisations qui utilisent une liste blanche d’applications peuvent empêcher son exécution, ce qui fournit une couche de protection efficace contre cette attaque », a déclaré Danny Jenkins, PDG de ThreatLocker.
Selon Nightmare Eclipse, RoguePlanet a été développé à l’origine comme une vulnérabilité d’exécution de code à distance. Elle exploitait la manière dont Microsoft Defender traitait les fichiers hébergés sur des partages SMB distants.
« Lors du développement initial, il a été confirmé que cette vulnérabilité permettait une exécution de code à distance », a expliqué le chercheur. « Il fallait qu’un attaquant incite une victime à ouvrir un fichier .vhd(x) situé sur un serveur SMB distant. Une exploitation réussie conduisait Defender à écraser ses propres fichiers, ce qui aboutissait à une exécution de code à distance. »
Le chercheur évoque un autre scénario qui pourrait mener à une exécution de code à distance simplement en incitant une victime à ouvrir un partage SMB, à condition que les paramètres d’évaluation des liens symboliques soient activés.
Cependant, le chercheur affirme que Microsoft a discrètement renforcé Defender à la mi-mai en corrigeant l’API « mpengine!SysIO* », ce qui a bloqué les attaques par jonction.
« Réécrire RoguePlanet pour le rendre à nouveau fonctionnel m’a épuisé et je n’ai pas pu compléter les autres scénarios. Pour l’instant, il reste incertain si RoguePlanet est limité à une élévation de privilèges locale ou s’il existe un moyen de la transformer en une exécution de code à distance », a écrit le chercheur.
Cette publication s’inscrit dans un conflit en cours entre Nightmare Eclipse et Microsoft concernant les pratiques de l’entreprise en matière de divulgation de vulnérabilités et de programme de récompenses.
Ces derniers mois, le chercheur a publié publiquement plusieurs failles zero-day pour Windows, notamment BlueHammer, RedSun, GreenPlasma et YellowKey. Certaines ciblaient Microsoft Defender, tandis que d’autres visaient BitLocker et d’autres composants de Windows. Microsoft a corrigé les failles GreenPlasma et YellowKey ce mardi dans le cadre des mises à jour de juin 2026.
Microsoft avait précédemment réagi aux divulgations en avertissant qu’il collaborerait avec les forces de l’ordre lorsque des personnes se livrent à « des activités malveillantes qui causent un préjudice réel à nos clients ». Cette déclaration a conduit de nombreux membres de la communauté de la cybersécurité à penser que Microsoft menaçait le chercheur.
Nightmare Eclipse déclare que Microsoft a ciblé et supprimé à plusieurs reprises ses dépôts précédents sur GitHub et GitLab, ce qui l’a incité à créer sa propre plateforme de code hébergée sur projectnightcrawler.dev.
BleepingComputer a contacté Microsoft au sujet de cette nouvelle faille zero-day et mettra à jour l’article s’il reçoit une déclaration.