Microsoft corrige deux zero‑days critiques dans Defender déjà exploités

Principales caractéristiques :

• Type de vulnérabilité : mauvaise résolution de lien (link following)
• Impact : élévation de privilèges locale jusqu’à SYSTEM
• Score de gravité CVSS v3.1 : 7,8 (élevé)
• Exploitation nécessitant un accès local authentifié, pas un accès distant.

Dans la pratique, ce type d’attaque peut impliquer :

• la création d’un lien symbolique, d’une jonction ou d’un reparse point malveillant ;
• l’incitation de Defender à accéder au fichier lié ;
• la redirection de l’opération vers un emplacement système protégé.

Même si les détails complets de l’exploit ne sont pas publics, cette catégorie de vulnérabilité est bien connue et souvent utilisée dans les chaînes d’attaque pour obtenir des privilèges élevés.

CVE‑2026‑45498 — Vulnérabilité de déni de service dans Defender

La seconde faille, CVE‑2026‑45498, concerne une vulnérabilité permettant de provoquer un déni de service (DoS) dans Microsoft Defender. Les informations techniques publiées restent limitées et décrivent simplement une vulnérabilité susceptible de perturber le service.

Une exploitation réussie pourrait par exemple :

• faire planter certains composants de Defender ;
• interrompre l’analyse antivirus ;
• désactiver temporairement certaines fonctions de protection.

Comme Defender assure la protection en temps réel des terminaux Windows, perturber son fonctionnement peut ouvrir une fenêtre d’opportunité pour l’installation de malware ou des activités post‑exploitation.

La méthode exacte d’exploitation n’a pas été rendue publique au moment de la divulgation.

Preuves d’exploitation active

Microsoft a confirmé que les deux vulnérabilités étaient déjà exploitées dans des attaques réelles avant la publication des correctifs. Cette situation a motivé la diffusion d’une mise à jour hors calendrier habituel.

Plusieurs éléments confirment cette exploitation :

• Les deux CVE ont été ajoutées au catalogue KEV de la CISA, réservé aux vulnérabilités pour lesquelles une exploitation réelle a été observée.
• Des rapports de sécurité indiquent que Microsoft a reconnu une exploitation active des failles d’élévation de privilèges et de déni de service affectant Defender.
• Certains outils de suivi de vulnérabilités les classent déjà comme failles critiques activement exploitées.

Pour l’instant, peu d’indicateurs techniques publics (exploits complets, indicateurs de compromission ou télémétrie des victimes) ont été divulgués.

Systèmes concernés

Ces vulnérabilités affectent principalement les composants Microsoft Defender, ce qui signifie que le risque dépend davantage de la version du moteur et de la plateforme Defender que de la version exacte de Windows.

Les environnements potentiellement concernés incluent :

• les postes Windows 11 utilisant Microsoft Defender ;
• les déploiements Windows Server avec Defender activé ;
• les terminaux d’entreprise utilisant le Microsoft Malware Protection Engine.

Les avis de sécurité indiquent que les versions vulnérables incluent notamment :

• Microsoft Malware Protection Engine avant la version 1.1.26040.8 ;
• Microsoft Defender Platform avant la version 4.18.26040.7.

Comme ces composants peuvent se mettre à jour indépendamment des mises à jour Windows classiques, il est important de vérifier les versions de Defender installées, et pas seulement la version du système d’exploitation.

Un lien possible avec l’activité « Nightmare‑Eclipse »

Des chercheurs en sécurité ont également observé en 2026 une vague d’exploits visant des produits Microsoft, associée à un acteur connu sous le nom de Nightmare‑Eclipse (ou Chaotic Eclipse).

Selon certaines analyses, cet acteur a publié plusieurs exploits zero‑day visant Windows et les outils de sécurité Microsoft après un différend concernant la divulgation de vulnérabilités.

Toutefois, les informations disponibles ne permettent pas d’établir un lien direct et confirmé entre cette campagne et les vulnérabilités CVE‑2026‑41091 ou CVE‑2026‑45498. Elles s’inscrivent plutôt dans un contexte plus large d’attaques visant les outils de sécurité de Microsoft.

Mesures de mitigation recommandées

Les organisations utilisant Microsoft Defender devraient considérer ces vulnérabilités comme prioritaires à corriger.

Actions recommandées :

• installer immédiatement les mises à jour de la plateforme Defender et du moteur antimalware publiées le 20 mai.
• vérifier les versions des composants Defender sur tous les postes et serveurs.
• prioriser la mise à jour des serveurs, environnements VDI, systèmes multi‑utilisateurs et postes de développement, où les risques d’élévation de privilèges sont plus élevés.
• surveiller les comportements anormaux de Defender, comme des plantages ou redémarrages inattendus du service.
• rechercher des artefacts suspects dans le système de fichiers, notamment des liens symboliques ou reparse points inhabituels dans des répertoires accessibles aux utilisateurs.

Si l’application immédiate des correctifs n’est pas possible, il est conseillé de limiter les accès locaux interactifs, réduire les privilèges administratifs et surveiller étroitement l’état de la protection antivirus.

Pourquoi ces vulnérabilités sont importantes

Les failles dans les solutions de sécurité peuvent être particulièrement critiques. Microsoft Defender fonctionne avec des privilèges élevés et est profondément intégré à Windows, ce qui signifie qu’une faiblesse dans sa gestion des fichiers ou ses services peut offrir aux attaquants un point d’entrée puissant.

La mise à jour du 20 mai rappelle une réalité fondamentale en cybersécurité : même les outils de défense peuvent devenir une surface d’attaque lorsqu’ils manipulent des fichiers non fiables ou opèrent avec des privilèges élevés.

Pour les administrateurs et les équipes de sécurité, la priorité reste claire : déployer rapidement les mises à jour Defender sur tous les terminaux afin de fermer la fenêtre d’exploitation.