Microsoft prépare un correctif pour une faille zero-day surnommée RoguePlanet dans Defender

Microsoft prépare un correctif pour une faille zero-day surnommée RoguePlanet dans Defender

Microsoft a confirmé qu’elle prépare un correctif de sécurité pour une faille zéro-day de son antivirus Defender, baptisée « RoguePlanet ». Cette vulnérabilité a été rendue publique il y a une semaine.

Le chercheur en sécurité qui a publié un exploit pour RoguePlanet lors des mises à jour de sécurité de juin 2026, surnommé Nightmare Eclipse, a déclaré qu’elle concerne les appareils Windows 10 et Windows 11 entièrement corrigés. Elle permettrait à des attaquants de lancer des fenêtres de commande avec les privilèges SYSTEM en exploitant une condition de compétition dans Microsoft Defender.

Il a partagé un code d’exploitation de preuve de concept sur un référentiel Git personnel. Selon ses déclarations, Microsoft aurait précédemment ciblé et supprimé ses dépôts hébergeant des exploits sur GitHub et GitLab.

« L’exploit repose sur une condition de compétition, donc le succès est aléatoire. J’ai obtenu un taux de réussite de 100% sur certaines machines alors qu’il échouait sur d’autres », a expliqué Nightmare Eclipse. Il a ajouté que la preuve de concept fonctionne que la protection en temps réel soit activée ou non.

Interrogé par BleepingComputer, un porte-parole de Microsoft avait déclaré : « Microsoft a connaissance de la vulnérabilité signalée et enquête activement sur sa validité et son applicabilité potentielle. Microsoft s’engage à examiner les problèmes de sécurité et à mettre à jour les produits concernés pour protéger les clients dès que possible. »

Désormais suivie sous la référence CVE-2026-50656, en attente d’un correctif

Mardi, une semaine après la divulgation de la faille RoguePlanet, Microsoft lui a attribué l’identifiant CVE-2026-50656. La société a confirmé qu’elle travaille actuellement sur un correctif, mais elle n’a pas reconnu que Nightmare Eclipse était à l’origine de cette découverte.

Microsoft a déclaré dans un avis publié hier : « Microsoft a connaissance d’une élévation de privilèges dans le moteur de protection contre les programmes malveillants de Microsoft Defender, communément appelée ‘RoguePlanet’. Nous nous efforçons de fournir une mise à jour de sécurité de haute qualité qui corrige cette vulnérabilité. Nous fournirons des informations dans cette CVE lorsque la mise à jour sera disponible. »

La publication de RoguePlanet s’inscrit dans un différend persistant entre Nightmare Eclipse et Microsoft concernant les pratiques de ce dernier en matière de programme de récompenses et de divulgation des vulnérabilités.

Au cours des derniers mois, le chercheur a publiquement divulgué plusieurs exploits pour des zéro-day Windows, dont ceux pour les failles BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey et UnDefend. Certaines de ces vulnérabilités touchent Microsoft Defender, tandis que d’autres ciblent BitLocker et des composants Windows.

Microsoft a répondu à ces divulgations en menaçant d’engager des poursuites judiciaires contre quiconque se livrerait à une « activité malveillante causant un préjudice réel à nos clients ». Des experts et chercheurs en cybersécurité ont interprété ces propos comme des menaces à l’encontre du chercheur.

La société a corrigé les failles GreenPlasma, MiniPlasma et YellowKey la semaine dernière dans le cadre des mises à jour de sécurité de juin 2026.