Microsoft Defender : deux vulnérabilités zero‑day activement exploitées ajoutées au catalogue KEV de la CISA

Gravité

• Score CVSS : 7,8 (élevé)
• Type d’attaque : élévation de privilèges locale
• Statut : exploitation active observée dans la nature

Comment fonctionne l’attaque

Le moteur de protection résout de manière incorrecte certains liens symboliques avant d’accéder aux fichiers. Un attaquant disposant de privilèges limités sur la machine peut manipuler ce comportement afin d’influencer les opérations de fichiers réalisées par Defender.

Si l’exploitation réussit, l’attaquant peut obtenir les privilèges SYSTEM, le niveau d’accès le plus élevé sous Windows, ce qui lui donne un contrôle complet sur la machine compromise.

Les versions vulnérables incluent notamment :

• Microsoft Malware Protection Engine : versions 1.1.26030.3008 à 1.1.26040.7

Comme ce moteur fonctionne avec des privilèges élevés lors de l’analyse des fichiers, une exploitation réussie peut compromettre la confidentialité, l’intégrité et la disponibilité du système.

CVE‑2026‑45498 : vulnérabilité de déni de service dans Defender

La seconde faille, CVE‑2026‑45498, permet de provoquer un déni de service (DoS) dans Microsoft Defender.

Gravité

• Score CVSS : environ 4,0 (niveau moyen)
• Type d’attaque : déni de service
• Statut : exploitation active signalée avant la publication du correctif

Effet de la vulnérabilité

Les détails techniques publics restent limités, mais les analyses indiquent que la faille peut être utilisée pour placer Microsoft Defender dans un état non fonctionnel ou perturbé.

Dans cette situation, le logiciel de sécurité peut cesser de fonctionner normalement, ce qui affaiblit la protection de l’endpoint et peut faciliter d’autres attaques ou infections par malware.

Versions affectées

Selon les avis de sécurité, les systèmes exécutant des versions anciennes de certains composants Defender peuvent être vulnérables :

• Microsoft Malware Protection Engine : versions antérieures à 1.1.26040.8
• Microsoft Defender Platform : versions antérieures à 4.18.26040.7

La mise à jour vers ces versions ou ultérieures corrige les vulnérabilités.

Correctifs publiés par Microsoft

Microsoft a publié des correctifs en mai 2026 dans le cadre de ses mises à jour de sécurité. Les correctifs sont distribués via les mécanismes automatiques de mise à jour de Defender, qui installent généralement les nouvelles versions du moteur et de la plateforme en arrière‑plan.

Les agences de cybersécurité recommandent aux administrateurs de vérifier que :

• le moteur de protection est à jour ;
• la plateforme Defender est mise à jour ;
• les mises à jour automatiques sont activées sur les postes et serveurs.

Ajout au catalogue KEV de la CISA

La CISA a ajouté ces deux vulnérabilités au catalogue KEV le 20 mai 2026 après confirmation de leur exploitation active.

Dans le cadre de la directive Binding Operational Directive (BOD) 22‑01, les agences fédérales civiles américaines devaient appliquer les correctifs avant la date limite suivante :

• 3 juin 2026

La directive exige soit l’application des correctifs du fournisseur, soit la mise en place de mesures de mitigation, voire l’arrêt de l’utilisation du produit vulnérable si aucune solution n’est disponible.

Un rappel : même les outils de sécurité peuvent être ciblés

Ces deux failles illustrent une réalité bien connue dans la cybersécurité : les logiciels de protection eux‑mêmes deviennent des cibles privilégiées.

Parce que Microsoft Defender fonctionne en permanence avec des privilèges élevés sur les postes Windows, toute vulnérabilité dans ses composants peut avoir un impact à l’échelle du système.

Pour les équipes de sécurité, les bonnes pratiques restent essentielles :

• appliquer rapidement les correctifs de sécurité ;
• surveiller les vulnérabilités ajoutées au catalogue KEV ;
• maintenir les solutions de protection à jour sur l’ensemble des endpoints.

Dans un contexte où les campagnes d’exploitation visant les produits Microsoft restent fréquentes en 2026, la rapidité de correction reste l’un des facteurs clés pour réduire le risque d’intrusion.