Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié un nouveau zero-day baptisé RoguePlanet, affectant Microsoft Defender sur Windows 10 et Windows 11.
Selon les premières analyses, cette vulnérabilité permet à un attaquant d’obtenir les privilèges SYSTEM, le niveau de privilège le plus élevé sous Windows, même sur des systèmes entièrement à jour après le Patch Tuesday de juin 2026.
Cette divulgation intervient seulement quelques semaines après plusieurs autres zero-day visant Microsoft Defender, dont BlueHammer, RedSun et UnDefend.
RoguePlanet exploite une faiblesse dans Microsoft Defender
Le chercheur explique que RoguePlanet repose sur une condition de course (race condition) impliquant le fonctionnement interne de Microsoft Defender.
L’exploit abuse du comportement de Defender lorsqu’il détecte et traite certains fichiers considérés comme malveillants. En combinant plusieurs mécanismes Windows, notamment les clichés instantanés de volume (Volume Shadow Copy), l’attaquant peut parvenir à remplacer un fichier système puis exécuter du code avec les privilèges SYSTEM.
Lorsque l’attaque réussit, une invite de commandes est lancée avec les privilèges les plus élevés du système.
Le chercheur indique toutefois que l’exploit n’est pas totalement fiable et que son taux de réussite varie selon les configurations matérielles et logicielles.
Des systèmes entièrement à jour seraient concernés
L’un des aspects les plus préoccupants est que RoguePlanet aurait été testé avec succès sur :
- Windows 11 24H2
- Versions Canary de Windows 11
- Windows 10
- Systèmes ayant installé les mises à jour de sécurité de juin 2026
Autrement dit, l’installation des derniers correctifs Windows ne protège actuellement pas contre cette vulnérabilité.
Des sociétés de cybersécurité ont également confirmé avoir reproduit l’exploit sur leurs propres environnements de test.
Pourquoi cette faille est particulièrement dangereuse
Contrairement à une vulnérabilité permettant une infection à distance, RoguePlanet nécessite déjà un accès local à la machine.
Cependant, ce type de faille est très recherché par les cybercriminels car il permet de transformer un accès utilisateur limité en contrôle total du système.
Avec des privilèges SYSTEM, un attaquant peut notamment :
- Désactiver certains mécanismes de sécurité
- Installer des logiciels malveillants persistants
- Accéder à des données sensibles
- Modifier des fichiers système
- Créer de nouveaux comptes administrateurs
Dans une chaîne d’attaque, ce type de vulnérabilité est souvent utilisé après une compromission initiale afin de prendre le contrôle complet d’un poste Windows.
Une nouvelle attaque dans la série des zero-day Defender
RoguePlanet s’inscrit dans une série de vulnérabilités publiées ces derniers mois par le même chercheur.
Parmi les plus connues :
- BlueHammer
- RedSun
- UnDefend
- YellowKey
- GreenPlasma
- MiniPlasma
Microsoft a corrigé certaines de ces vulnérabilités lors des précédents Patch Tuesday, mais plusieurs failles publiées par le chercheur ont été rendues publiques avant qu’un correctif officiel ne soit disponible.
Cette situation s’inscrit dans un contexte de tensions entre le chercheur et Microsoft concernant les procédures de divulgation des vulnérabilités.
Les acutalités du site qui en parlent :
- MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié
- YellowKey : Microsoft publie une mitigation pour le zero-day BitLocker (CVE-2026-45585)
- Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques
Existe-t-il un correctif ?
À l’heure actuelle, Microsoft n’a pas publié de correctif spécifique pour RoguePlanet.
Les utilisateurs doivent néanmoins continuer à installer les mises à jour de sécurité mensuelles afin de bénéficier des correctifs publiés pour les autres vulnérabilités découvertes récemment.
Dans les environnements professionnels, l’utilisation de mécanismes de contrôle d’applications, de restriction d’exécution et de segmentation des privilèges peut également limiter l’impact potentiel d’une telle faille.
A lire :
Conclusion
La publication de RoguePlanet montre que Microsoft Defender reste une cible privilégiée des chercheurs en sécurité et des attaquants. Même si cette vulnérabilité nécessite déjà un accès local au système, elle permet potentiellement d’obtenir les privilèges SYSTEM sur des machines Windows entièrement à jour.
En attendant une éventuelle correction par Microsoft, il est recommandé d’appliquer les bonnes pratiques de sécurité habituelles : limiter les droits des utilisateurs, maintenir Windows à jour et surveiller les activités suspectes sur les postes de travail.
Sources :
- BleepingComputer – Microsoft Defender RoguePlanet zero-day grants SYSTEM privileges
- ThreatLocker – Microsoft Defender zero-day RoguePlanet grants SYSTEM privileges
- SecurityWeek – New Windows Zero-Day Exploit RoguePlanet Released
L’article RoguePlanet : un nouveau zero-day Microsoft Defender permet d’obtenir les privilèges SYSTEM sur Windows est apparu en premier sur malekal.com.
0 Commentaires