Microsoft a corrigé ce mardi deux failles de sécurité de type zero-day qui permettaient à des attaquants d’obtenir les privilèges SYSTEM sur des ordinateurs Windows à jour. Une troisième faille, qui donnait accès à des disques protégés par BitLocker, a également été colmatée.
Ces trois vulnérabilités avaient été rendues publiques le mois dernier par un chercheur en sécurité qui utilise le pseudonyme « Nightmare Eclipse ». Ce dernier a agi pour protester contre la gestion du processus de divulgation par le Microsoft Security Response Center (MSRC).
Baptisées « GreenPlasma » et « MiniPlasma », les deux failles d’élévation de privilèges sont référencées sous les codes CVE-2026-45586 et CVE-2020-17103. Elles se trouvaient dans le Collaborative Translation Framework (CTFMON) et le pilote de filtre en mode mini « Cloud Files ». Elles permettaient à un attaquant local d’obtenir un shell avec les permissions les plus élevées du système.
La troisième faille zero-day corrigée est nommée « YellowKey » et porte le numéro CVE-2026-45585. Elle agit comme une porte dérobée dans l’environnement de récupération Windows, ou Windows Recovery Environment (WinRE), qui sert à réparer les problèmes de démarrage.
Des attaquants ayant un accès physique à une machine ciblée pouvaient exploiter YellowKey pour contourner la protection BitLocker sur des systèmes Windows 11 et Windows Server 2022 ou 2025 qui n’étaient pas mis à jour.
Microsoft avait partagé des mesures d’atténuation pour se protéger contre d’éventuelles exploitations de YellowKey, tout en se plaignant que le code de preuve de concept avait été « rendu public en violation des meilleures pratiques de divulgation coordonnée ».
Les correctifs pour GreenPlasma, MiniPlasma et YellowKey ont été déployés dans le cadre des mises à jour de sécurité mensuelles de juin 2026.
Au cours des derniers mois, Nightmare Eclipse a aussi publié des preuves de concept pour les failles « BlueHammer » (CVE-2026-33825) et « RedSun », deux autres zero-day d’élévation de privilèges locaux qui sont désormais exploitées activement.
Plus récemment, le chercheur a divulgué « UnDefend », une autre faille zero-day qui permet à un attaquant avec des droits d’utilisateur standard de bloquer les mises à jour des définitions de Microsoft Defender. Ce mardi, un exploit pour Microsoft Defender nommé « RoguePlanet » a aussi fuité. Il permet à des menaces d’exécuter des invites de commande avec les privilèges SYSTEM.
Microsoft avait initialement réagi à ces fuites en menaçant de poursuites judiciaires. La société a fait machine arrière après un important tollé sur les réseaux sociaux. Elle a déclaré qu’elle travaillerait avec les forces de l’ordre lorsque des chercheurs « enfreignent la loi et se livrent à des activités malveillantes qui causent un préjudice réel à nos clients ».