Microsoft a publié le 20 mai 2026 une mise à jour de sécurité hors cycle pour corriger deux vulnérabilités dans Microsoft Defender déjà exploitées dans la nature. Les failles, identifiées sous les références CVE‑2026‑41091 et CVE‑2026‑45498, touchent l’écosystème antimalware intégré à Windows et ont été ajoutées rapidement au catalogue Known Exploited Vulnerabilities (KEV) de la CISA, ce qui indique l’existence d’attaques actives et un besoin urgent de correctifs.
Même si les deux vulnérabilités diffèrent techniquement — l’une permettant une élévation de privilèges et l’autre pouvant perturber les protections de Defender — elles concernent toutes deux des mécanismes de sécurité essentiels utilisés par de nombreuses organisations comme première ligne de défense.
La vulnérabilité CVE‑2026‑41091 est un problème de résolution incorrecte des liens avant l’accès à un fichier, souvent appelé link following. Elle survient lorsque Microsoft Defender suit un lien symbolique ou une redirection du système de fichiers avant d’accéder à un fichier.
Dans certaines situations, un utilisateur local peut contrôler ce lien et rediriger l’opération vers un fichier différent de celui attendu. Comme Defender effectue certaines opérations avec des privilèges élevés, cela peut permettre à un attaquant d’élever ses privilèges jusqu’au niveau SYSTEM, c’est‑à‑dire le niveau le plus élevé dans Windows.
Principales caractéristiques :
Dans la pratique, ce type d’attaque peut impliquer :
Même si les détails complets de l’exploit ne sont pas publics, cette catégorie de vulnérabilité est bien connue et souvent utilisée dans les chaînes d’attaque pour obtenir des privilèges élevés.
La seconde faille, CVE‑2026‑45498, concerne une vulnérabilité permettant de provoquer un déni de service (DoS) dans Microsoft Defender. Les informations techniques publiées restent limitées et décrivent simplement une vulnérabilité susceptible de perturber le service.
Une exploitation réussie pourrait par exemple :
Comme Defender assure la protection en temps réel des terminaux Windows, perturber son fonctionnement peut ouvrir une fenêtre d’opportunité pour l’installation de malware ou des activités post‑exploitation.
La méthode exacte d’exploitation n’a pas été rendue publique au moment de la divulgation.
Microsoft a confirmé que les deux vulnérabilités étaient déjà exploitées dans des attaques réelles avant la publication des correctifs. Cette situation a motivé la diffusion d’une mise à jour hors calendrier habituel.
Plusieurs éléments confirment cette exploitation :
Pour l’instant, peu d’indicateurs techniques publics (exploits complets, indicateurs de compromission ou télémétrie des victimes) ont été divulgués.
Ces vulnérabilités affectent principalement les composants Microsoft Defender, ce qui signifie que le risque dépend davantage de la version du moteur et de la plateforme Defender que de la version exacte de Windows.
Les environnements potentiellement concernés incluent :
Les avis de sécurité indiquent que les versions vulnérables incluent notamment :
Comme ces composants peuvent se mettre à jour indépendamment des mises à jour Windows classiques, il est important de vérifier les versions de Defender installées, et pas seulement la version du système d’exploitation.
Des chercheurs en sécurité ont également observé en 2026 une vague d’exploits visant des produits Microsoft, associée à un acteur connu sous le nom de Nightmare‑Eclipse (ou Chaotic Eclipse).
Selon certaines analyses, cet acteur a publié plusieurs exploits zero‑day visant Windows et les outils de sécurité Microsoft après un différend concernant la divulgation de vulnérabilités.
Toutefois, les informations disponibles ne permettent pas d’établir un lien direct et confirmé entre cette campagne et les vulnérabilités CVE‑2026‑41091 ou CVE‑2026‑45498. Elles s’inscrivent plutôt dans un contexte plus large d’attaques visant les outils de sécurité de Microsoft.
Les organisations utilisant Microsoft Defender devraient considérer ces vulnérabilités comme prioritaires à corriger.
Actions recommandées :
Si l’application immédiate des correctifs n’est pas possible, il est conseillé de limiter les accès locaux interactifs, réduire les privilèges administratifs et surveiller étroitement l’état de la protection antivirus.
Les failles dans les solutions de sécurité peuvent être particulièrement critiques. Microsoft Defender fonctionne avec des privilèges élevés et est profondément intégré à Windows, ce qui signifie qu’une faiblesse dans sa gestion des fichiers ou ses services peut offrir aux attaquants un point d’entrée puissant.
La mise à jour du 20 mai rappelle une réalité fondamentale en cybersécurité : même les outils de défense peuvent devenir une surface d’attaque lorsqu’ils manipulent des fichiers non fiables ou opèrent avec des privilèges élevés.
Pour les administrateurs et les équipes de sécurité, la priorité reste claire : déployer rapidement les mises à jour Defender sur tous les terminaux afin de fermer la fenêtre d’exploitation.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Microsoft a publié le 20 mai 2026 une mise à jour hors cycle pour corriger deux vulnérabilités zero‑day dans Microsoft Defender, déjà exploitées dans des attaques réelles.
Microsoft a publié le 20 mai 2026 une mise à jour hors cycle pour corriger deux vulnérabilités zero‑day dans Microsoft Defender, déjà exploitées dans des attaques réelles. La faille CVE‑2026‑41091 permet à un utilisateur local d’élever ses privilèges jusqu’au niveau SYSTEM en exploitant une mauvaise résolution des liens de fichiers.
Les administrateurs doivent vérifier les versions de la plateforme Defender et du moteur antimalware, car ces composants se mettent à jour indépendamment de Windows.