Près d'un mois après la divulgation publique d'un exploit, Microsoft a publié le 8 juillet 2026 un correctif d'urgence pour une faille de sécurité critique affectant son outil de protection intégré. Identifiée sous la référence CVE-2026-50656 et surnommée RoguePlanet, cette vulnérabilité de type zéro-day réside dans le Microsoft Malware Protection Engine, le moteur au cœur de Microsoft Defender. Elle permet à un attaquant déjà présent sur le système d'élever ses privilèges jusqu'au niveau SYSTEM, ouvrant ainsi un contrôle total de la machine.
Une race condition exploitée avec un taux de succès variable
Selon les informations du Microsoft Security Response Center, RoguePlanet exploite une condition de concurrence (race condition), plus précisément un problème de type « Time Of Check to Time Of Use » (TOCTOU). Le chercheur opérant sous les pseudonymes Nightmare Eclipse et Chaotic Eclipse, qui a découvert et divulgué la faille, a expliqué que l'exploit fonctionnait que la protection en temps réel soit activée ou non. « Cette faille est une race condition, c'est donc quitte ou double. J'ai réussi à obtenir un taux de réussite de 100 % sur certaines machines, tandis que sur d'autres, cela a été plus difficile », a-t-il déclaré au moment de la publication de son code de démonstration.
Un correctif hors cycle et un contexte de bras de fer
Microsoft a confirmé le 16 juin être en train de développer un patch. La mise à jour a finalement été livrée le mercredi 8 juillet, bien en dehors du calendrier mensuel des Patch Tuesday, ce qui traduit l'urgence de la situation. La version 1.1.26060.3008 du Microsoft Malware Protection Engine corrige désormais la vulnérabilité. Les utilisateurs sont invités à vérifier que leur moteur est au moins à ce niveau pour être protégés.
Cette correction intervient dans un contexte de tension croissante entre l'éditeur et le chercheur. Depuis avril 2026, Nightmare Eclipse publie régulièrement des exploits contre Windows et Defender sur des plateformes comme GitHub, avant que Microsoft ne fasse retirer ses dépôts. L'entreprise a mobilisé sa Digital Crimes Unit face à cette série d'attaques. RoguePlanet constitue le premier correctif hors Patch Tuesday arraché dans ce conflit.
Comment se protéger
La mise à jour est déployée automatiquement via Windows Update ou par le biais des mises à jour du moteur Defender. Pour vérifier manuellement la version installée, il convient d'ouvrir Microsoft Defender, d'aller dans Paramètres, puis À propos, et de s'assurer que le numéro de version du moteur antimalware est au moins 1.1.26060.3008. Les systèmes Windows 10 et Windows 11 sont concernés. Aucune exploitation massive n'a été rapportée à ce stade, mais les experts recommandent d'appliquer le correctif sans délai.