Un chercheur en sécurité opérant sous le pseudonyme Nightmare Eclipse a divulgué une faille de sécurité critique dans le moteur anti-malware de Microsoft Defender. Désignée sous le nom de « RoguePlanet », cette vulnérabilité de type zero-day permet à un attaquant déjà présent sur le système avec un compte utilisateur standard d'élever ses privilèges jusqu'au niveau le plus élevé, NT AUTHORITY\SYSTEM. Un code d'exploitation (proof-of-concept, PoC) a été mis en ligne, ce qui accroît considérablement le risque d'exploitation par des acteurs malveillants.
Détails techniques
« RoguePlanet » repose sur une vulnérabilité de type TOCTOU (time-of-check time-of-use), c'est-à-dire une condition de concurrence (race condition) dans la logique de gestion des fichiers et de remédiation de Microsoft Defender. L'exploitation nécessite qu'un utilisateur malveillant possède déjà un accès de bas niveau au système. Le principe est le suivant : l'attaquant crée un fichier bénin mais spécialement conçu pour être détecté comme malveillant par Defender (par exemple en utilisant la chaîne de test EICAR). En parallèle, un script surveille l'accès de Defender à ce fichier. Dans l'intervalle très court entre le moment où Defender identifie le fichier comme dangereux (time-of-check) et celui où il exécute une action privilégiée (time-of-use) – comme une suppression ou une mise en quarantaine – l'attaquant remplace le fichier par un lien symbolique pointant vers un emplacement système protégé (par exemple C:\Windows\System32). Le service anti-malware (MsMpEng.exe), qui s'exécute avec les droits SYSTEM, suit alors ce lien et effectue son opération sur la cible, ce qui peut conduire à l'écriture ou la suppression de fichiers dans des zones critiques, et finalement à une exécution de code arbitraire avec les plus hauts privilèges.
Impact et conséquences
Le chercheur a indiqué que la vulnérabilité fonctionne même sur des systèmes disposant des correctifs de sécurité de juin 2026 (Patch Tuesday). La disponibilité publique d'un PoC augmente la probabilité que des groupes criminels ou des États intègrent cette technique à leurs boîtes à outils. Microsoft Defender étant l'antivirus intégré par défaut sur des centaines de millions de machines Windows, la surface d'attaque est immense.
Une fois les privilèges SYSTEM obtenus, un attaquant peut désactiver ou altérer les logiciels de sécurité, déployer des rançongiciels, extraire des mots de passe en mémoire à l'aide d'outils comme Mimikatz, ou installer des portes dérobées persistantes. Pour les entreprises, une simple compromission d'un poste de travail peut, via cette élévation de privilèges, mener à une compromission complète du domaine.
Recommandations
En l'absence de correctif officiel, les équipes de sécurité sont invitées à surveiller les activités anormales du processus MsMpEng.exe, notamment les opérations de lecture/écriture de fichiers dans des répertoires systèmes inhabituels. L'exploitation de cette faille peut également laisser des traces dans les journaux d'audit. Il est conseillé de restreindre au maximum les droits des utilisateurs et de mettre en place une détection des tentatives d'abus de liens symboliques. Microsoft n'a pas encore communiqué officiellement sur un calendrier de correction.
