RoguePlanet : une faille zero-day dans Microsoft Defender ouvre la voie à des privilèges SYSTEM

Une vulnérabilité zero-day, dénommée RoguePlanet, a été rendue publique par un chercheur en sécurité anonyme opérant sous le pseudonyme Chaotic Eclipse, également connu sous le nom Nightmare-Eclipse. Ce dernier a mis en ligne un code de preuve de concept (PoC) sur un nouveau compte GitHub baptisé MSNightmare, démontrant une technique d'élévation de privilèges au sein de Microsoft Defender, le logiciel antivirus intégré à Windows.

Une technique de course critique exploitée

Selon les informations communiquées par le chercheur, l'exploit repose sur une condition de course (race condition), un type de faille qui survient lorsque le comportement d'un système dépend de l'ordre temporel d'événements ou de processus. Le chercheur a décrit l'exploitation comme aléatoire, avec un taux de succès variable. Dans ses tests, il est parvenu à obtenir un taux de réussite de 100 % sur un système de test, comme il l'a lui-même indiqué dans les commentaires accompagnant la publication du code.

Un accès SYSTEM complet

L'exploitation réussie de RoguePlanet permet à un attaquant possesseur d'un accès initial limité sur une machine d'élever ses privilèges jusqu'au niveau SYSTEM, le compte le plus puissant de l'environnement Windows. Ce niveau d'accès offre un contrôle total sur la machine, y compris la possibilité de modifier les paramètres du noyau, de désactiver des logiciels de sécurité ou d'installer des programmes persistants.

Des implications pour la sécurité des systèmes Windows

La divulgation publique d'un code d'exploitation fonctionnel expose potentiellement un grand nombre de systèmes Windows à des tentatives d'intrusion. Microsoft Defender étant un composant central de la sécurité sur les PC sous Windows, une vulnérabilité le concernant représente une menace sérieuse, car elle offre un vecteur d'attaque de premier plan. La faille RoguePlanet s'inscrit dans une série de vulnérabilités affectant le logiciel de sécurité de Microsoft, soulevant des interrogations sur la robustesse de sa conception.

Réactions et perspectives

À ce stade, Microsoft n'a pas officiellement réagi à cette divulgation. Il n'est pas encore établi si la société prévoit de déployer un correctif de sécurité via son cycle de mises à jour mensuelles. Les experts en sécurité recommandent aux administrateurs systèmes de surveiller les publications de Microsoft et d'appliquer les correctifs dès leur disponibilité. En attendant, il est conseillé de renforcer les permissions des comptes utilisateurs et de limiter au maximum les droits d'accès sur les postes de travail.