Une nouvelle faille Windows offre les droits système maximaux aux attaquants, juste après les correctifs de juin

Une divulgation choc juste après le Patch Tuesday

Le 10 juin 2026, alors que Microsoft venait de publier son Patch Tuesday mensuel, un chercheur opérant sous le pseudonyme de Nightmare Eclipse a mis en ligne sur GitHub un nouvel exploit baptisé RoguePlanet. La date n'est pas anodine : plus tôt dans la journée, l'éditeur avait corrigé deux vulnérabilités de la même série, nommées GreenPlasma et YellowKey. Le chercheur avait déjà vu ses précédents dépôts retirés des plateformes GitHub et GitLab à la demande de Microsoft.

Un exploit qui transforme Defender en arme

RoguePlanet permet à un utilisateur disposant d'un accès local, même sans privilèges, d'obtenir les droits les plus élevés du système d'exploitation, appelés « droits SYSTEM ». La société de cybersécurité ThreatLocker a indiqué avoir reproduit l'attaque sur une machine équipée de Windows 11 intégrant la dernière mise à jour cumulative KB5094126. Microsoft n'a attribué aucun identifiant CVE à cette faille et n'a pas communiqué d'avis de sécurité. Aucun correctif n'est disponible à ce jour.

La technique exploite le fonctionnement même de Microsoft Defender : lorsque l'antivirus analyse un fichier suspect, il agit avec ses propres droits SYSTEM. L'attaquant substitue un fichier légitime par un fichier malveillant au moment précis où Defender s'en empare. Le programme de sécurité exécute alors le code malveillant avec ses propres privilèges, offrant à l'assaillant un accès complet à la machine. Nightmare Eclipse qualifie l'exploit de « hit or miss » (aléatoire) mais revendique un taux de réussite de 100 % sur certaines configurations. La vulnérabilité nécessite un accès local préalable à la machine et ne fonctionne pas sur Windows Server dans sa version actuelle.

Une série noire qui s'allonge

RoguePlanet constitue la septième divulgation publique réalisée par ce même chercheur depuis avril 2026. Les précédentes portent les noms de BlueHammer, RedSun, GreenPlasma, YellowKey, MiniPlasma et UnDefend. Ces failles ciblent tour à tour Microsoft Defender, BitLocker et d'autres composants du système, mais toutes reposent sur le même principe : détourner les opérations privilégiées de processus système pour escalader jusqu'aux droits SYSTEM. Chaque correctif appliqué par Microsoft ne semble colmater qu'une instance particulière, sans refermer la porte à la classe de vulnérabilité sous-jacente.

Quelles protections pour les utilisateurs ?

ThreatLocker a confirmé que la seule mesure de protection validée face à RoguePlanet est l'allowlisting applicatif, c'est-à-dire une liste blanche des applications autorisées à s'exécuter. Cette solution est toutefois hors de portée de la majorité des particuliers. En l'absence de correctif, les experts recommandent d'installer sans délai les mises à jour de juin et de surveiller une éventuelle publication d'un correctif d'urgence par Microsoft. L'exploit n'étant pour l'instant pas exploitable à distance, le risque immédiat concerne les environnements où plusieurs utilisateurs partagent un même poste ou en cas d'intrusion préalable.