Microsoft alerte sur l’exploitation active de CVE-2026-41089, une vulnérabilité critique affectant le service Windows Netlogon. Cette faille permet à un attaquant non authentifié d’exécuter du code à distance sur un contrôleur de domaine Windows simplement en envoyant une requête réseau spécialement conçue.

Avec un score CVSS de 9.8/10, cette vulnérabilité est actuellement considérée comme l’une des plus dangereuses du Patch Tuesday de mai 2026.

CVE-2026-41089 touche directement le service Netlogon

Netlogon est un composant fondamental des environnements Active Directory.

Ce service est utilisé pour :

• l’authentification des utilisateurs
• la communication entre contrôleurs de domaine
• la gestion des relations de confiance
• les opérations de sécurité du domaine Windows

Microsoft décrit la faille comme un stack-based buffer overflow dans Windows Netlogon.

Le scénario d’attaque est particulièrement préoccupant :

« Un pirate pourrait envoyer une requête réseau spécialement conçue à un serveur Windows faisant office de contrôleur de domaine. »

Microsoft précise que si l’attaque réussit :

« Cela pourrait amener le service Netlogon à traiter la requête de manière incorrecte, ce qui permettrait potentiellement à un attaquant d’exécuter du code sur le système concerné avec des privilèges SYSTEM. »

Autrement dit, un attaquant peut potentiellement obtenir l’exécution de code à distance avec les privilèges SYSTEM sur un contrôleur de domaine.

Aucun compte ni interaction utilisateur nécessaire

L’un des aspects les plus critiques de CVE-2026-41089 est qu’elle ne nécessite :

• aucune authentification
• aucun compte utilisateur
• aucune interaction de la victime

Selon Microsoft et plusieurs analyses sécurité, une simple requête réseau spécialement construite suffit pour déclencher la vulnérabilité.

Le problème affecte le protocole MS-NRPC (Netlogon Remote Protocol) utilisé par les contrôleurs de domaine Active Directory.

Techniquement, une erreur de validation dans le traitement de certaines requêtes provoque un débordement de pile (stack buffer overflow), permettant potentiellement l’exécution de code arbitraire.

Une faille potentiellement « wormable »

Plusieurs chercheurs sécurité soulignent un point particulièrement inquiétant : la vulnérabilité présente plusieurs caractéristiques des failles dites « wormables ».

Une fois exploitée sur un contrôleur de domaine compromis, elle pourrait théoriquement être utilisée pour :

• compromettre l’ensemble du domaine Active Directory
• déployer des malwares à grande échelle
• propager des attaques latéralement
• distribuer des ransomwares

La Zero Day Initiative résume la situation de manière assez directe : « Un contrôleur de domaine compromis équivaut à un domaine compromis. »

Le même rapport souligne également que la faille ne nécessite ni identifiants ni accès préalable et la qualifie de vulnérabilité nécessitant un correctif immédiat.

Des attaques déjà observées

Selon BleepingComputer, Microsoft confirme désormais que CVE-2026-41089 est activement exploitée dans des attaques.

La firme n’a pas encore communiqué :

• le nombre d’attaques observées
• les groupes impliqués
• ni les secteurs visés

Mais le passage au statut « exploited in attacks » augmente fortement la priorité de déploiement du correctif dans les environnements Active Directory.

Quels systèmes sont concernés ?

La vulnérabilité touche principalement les systèmes Windows Server utilisés comme contrôleurs de domaine.

Les analyses publiques mentionnent notamment :

• Windows Server 2019
• Windows Server 2022
• d’autres versions Windows Server supportant Netlogon et Active Directory

Les postes clients Windows classiques sont beaucoup moins exposés, sauf dans certains scénarios spécifiques liés à l’infrastructure Active Directory.

Le correctif est déjà disponible

Microsoft a corrigé CVE-2026-41089 dans le cadre du Patch Tuesday de mai 2026.

Les administrateurs doivent :

• installer les dernières mises à jour de sécurité Windows Server
• vérifier les contrôleurs de domaine exposés
• surveiller les journaux Netlogon
• accélérer le déploiement des correctifs sur les infrastructures Active Directory

Compte tenu du niveau de criticité de la faille et de l’exploitation déjà observée, cette mise à jour fait partie des correctifs prioritaires du mois.

Pourquoi cette faille est particulièrement dangereuse

Les vulnérabilités touchant directement Active Directory restent parmi les plus sensibles de l’écosystème Windows.

Contrairement à une faille locale classique, CVE-2026-41089 vise un composant central de l’infrastructure d’entreprise.

Une compromission réussie d’un contrôleur de domaine peut permettre :

• l’accès aux comptes du domaine
• la modification des politiques de sécurité
• le déploiement de logiciels malveillants
• la prise de contrôle complète de l’environnement Active Directory

C’est précisément pour cette raison que les chercheurs sécurité considèrent cette vulnérabilité comme l’une des plus importantes du Patch Tuesday de mai 2026.

L’article une faille critique Netlogon permet l’exécution de code à distance sur les contrôleurs de domaine Windows est apparu en premier sur malekal.com.

Ces dernières semaines, les actualités sécurité autour de Windows se sont enchaînées à un rythme inhabituel :

• plusieurs zero-days Microsoft Defender
• YellowKey contre BitLocker
• MiniPlasma donnant les privilèges SYSTEM
• des vulnérabilités WinRE et Secure Boot
• des PoC publiés publiquement quelques heures après disclosure

Simple impression ou véritable changement dans la cybersécurité ?

De plus en plus de chercheurs, mainteneurs Linux et entreprises sécurité estiment que l’intelligence artificielle est en train de transformer profondément la découverte de vulnérabilités logicielles.

Mais contrairement à certains discours alarmistes sur les réseaux sociaux, la réalité est plus nuancée.

Google a déjà trouvé de vraies vulnérabilités avec une IA

Le cas le plus connu est probablement Big Sleep, un projet développé par Google DeepMind et Google Project Zero.

En novembre 2024, Google annonçait que son agent IA avait découvert une véritable vulnérabilité exploitable dans SQLite, un moteur de base de données extrêmement utilisé dans le monde entier. Google présentait alors cette découverte comme la première “real-world vulnerability” trouvée par un agent IA.

Le bug concernait un stack buffer underflow exploitable dans SQLite et a été corrigé avant même d’arriver dans une version publique du logiciel.

Google affirme depuis que Big Sleep continue de découvrir d’autres vulnérabilités critiques dans des logiciels open source.

Cela marque un tournant important :

• l’IA ne sert plus uniquement à analyser du texte
• elle commence réellement à participer à la recherche offensive et défensive de vulnérabilités

Linus Torvalds parle d’un “boxon” sur les listes sécurité Linux

Le phénomène est devenu tellement visible que Linus Torvalds lui-même a récemment critiqué l’explosion des rapports de bugs générés avec l’aide d’IA sur les mailing lists sécurité du noyau Linux.

Selon le créateur de Linux, “the continued flood of AI reports has basically made the security list almost entirely unmanageable”.

Le problème ne vient pas uniquement des vulnérabilités réelles découvertes, mais aussi :

• des doublons massifs
• des faux positifs
• des rapports générés automatiquement
• de chercheurs utilisant les mêmes modèles IA pour scanner le même code

Résultat :

• plusieurs personnes soumettent les mêmes bugs
• les mainteneurs passent énormément de temps à trier
• certaines listes sécurité deviennent difficiles à gérer

Linus Torvalds précise d’ailleurs qu’il ne rejette pas l’IA elle-même, mais plutôt son utilisation “sans compréhension technique réelle” par certains chercheurs.

Les modèles IA deviennent très bons pour analyser du code

Ce qui change surtout depuis 2024-2026, c’est la vitesse.

Les nouveaux modèles sont capables :

• d’analyser de très grandes bases de code
• de suivre des flux d’exécution complexes
• d’identifier des patterns dangereux
• de repérer des erreurs mémoire
• d’automatiser certaines recherches de vulnérabilités

Plusieurs travaux académiques récents montrent des résultats impressionnants.

Par exemple :

• DrvHorn a détecté 545 bugs dans des drivers Linux, dont 424 inconnus auparavant
• FuzzingBrain V2 affirme avoir trouvé 29 zero-days dans 12 projets open source
• certains frameworks IA atteignent désormais plus de 90 % de détection sur certains benchmarks sécurité

Même OpenAI o3 a récemment été utilisé par un chercheur pour identifier une vulnérabilité Linux SMB critique dans le noyau Linux.

Mais attention aux discours catastrophistes

Pour autant, il faut rester prudent.

Rien ne prouve aujourd’hui que les récents zero-days Windows :

• YellowKey
• MiniPlasma
• ou les failles Microsoft Defender

aient été directement découverts par IA.

Les chercheurs derrière ces vulnérabilités n’ont pas indiqué avoir utilisé des modèles IA pour les trouver.

De plus, l’explosion apparente des vulnérabilités provient aussi :

• d’une médiatisation plus forte
• de la publication rapide des PoC
• d’une meilleure industrialisation du fuzzing
• et d’outils automatiques de recherche déjà très avancés depuis plusieurs années

Autre point important : l’IA génère énormément de bruit.

Une étude récente sur les faux positifs dans le noyau Linux montre que les rapports erronés coûtent énormément de temps aux mainteneurs et deviennent un vrai problème opérationnel.

Autrement dit :

• l’IA trouve davantage de bugs
• mais elle produit aussi davantage de mauvais signal

La vraie révolution : l’industrialisation de la recherche de vulnérabilités

Le changement majeur semble surtout être l’industrialisation de la recherche de vulnérabilités.

Avant :

• trouver un bug complexe demandait souvent des semaines
• voire des mois d’analyse humaine

Aujourd’hui :

• des modèles IA peuvent scanner du code 24h/24
• comparer automatiquement des patterns
• générer des hypothèses
• accélérer le tri des vulnérabilités potentielles

Cela réduit fortement le coût et le temps nécessaires pour découvrir certains bugs.

Pour les éditeurs comme Microsoft, Google ou les mainteneurs Linux, cela signifie probablement :

• davantage de vulnérabilités découvertes
• davantage de Patch Tuesday
• davantage de pression sur les équipes sécurité
• et des cycles de correction potentiellement plus courts

La cybersécurité entre progressivement dans une phase où l’IA ne remplace pas encore les chercheurs humains… mais augmente considérablement leur capacité de recherche.

L’article L’IA accélère-t-elle la découverte des vulnérabilités et zero-days Windows ? est apparu en premier sur malekal.com.

Microsoft alerte sur deux nouvelles vulnérabilités de sécurité affectant Microsoft Defender et ses composants antimalware. Les failles sont déjà exploitées dans des attaques ciblées et touchent directement le moteur de protection utilisé par Windows Defender Antivirus et plusieurs solutions de sécurité Microsoft.

Les correctifs sont désormais disponibles via les mises à jour automatiques de Microsoft Defender distribuées par Windows Update.

Deux vulnérabilités touchent le moteur antimalware Microsoft

La première faille, identifiée sous le numéro CVE-2026-41091, est une vulnérabilité d’élévation de privilèges affectant le Microsoft Malware Protection Engine en version 1.1.26030.3008 et antérieures.

Ce moteur est le composant principal chargé :

• de l’analyse des fichiers
• de la détection des malwares
• du nettoyage des menaces
• de la protection temps réel

Il est utilisé par :

• Microsoft Defender Antivirus
• Microsoft Security Essentials
• System Center Endpoint Protection
• plusieurs autres solutions de sécurité Microsoft

La seconde vulnérabilité, suivie sous l’identifiant CVE-2026-45498, touche la Microsoft Defender Antimalware Platform en version 4.18.26030.3011 et antérieures.

Cette plateforme fournit les différents composants de sécurité et d’intégration de Defender dans Windows et les solutions Microsoft Endpoint Protection.

Microsoft évoque des attaques actives

Microsoft confirme que ces vulnérabilités sont déjà exploitées dans des attaques réelles avant la publication des correctifs.

Selon la firme, l’exploitation réussie permettrait principalement à des attaquants de provoquer un état de déni de service (DoS) sur des appareils Windows non corrigés.

Autrement dit :

• Microsoft ne parle pas ici d’une exécution de code à distance
• ni d’une compromission complète immédiate du système

Mais un attaquant pourrait provoquer :

• un dysfonctionnement du moteur Defender
• une interruption de la protection
• ou une instabilité des composants de sécurité Windows

Comme Defender fonctionne avec des privilèges élevés et interagit profondément avec le système, ce type de faille reste particulièrement sensible.

Les versions corrigées sont déjà disponibles

Microsoft a publié :

• Microsoft Malware Protection Engine 1.1.26040.8
• Microsoft Defender Antimalware Platform 4.18.26040.7

afin de corriger les deux vulnérabilités.

Les mises à jour sont distribuées automatiquement via :

• Windows Update
• Microsoft Defender Update
• les mises à jour de signatures Defender

Dans la majorité des cas, aucune action manuelle n’est nécessaire.

Microsoft rappelle que la configuration par défaut de Defender maintient automatiquement à jour :

• les signatures antivirus
• le moteur de protection
• la plateforme antimalware

Comment vérifier la version du moteur Defender

Il est possible de vérifier facilement si le système dispose des versions corrigées.

Pour cela :

• Ouvrez Sécurité Windows
• Tout en bas à gauche de la fenêtre, cliquez sur Paramètres
• Enfin cliquez sur A propos

Vous pouvez alors vérifier :

• la version du moteur
• la version de la plateforme
• la version des signatures

Les versions sécurisées doivent être au minimum :

• Version du client anti-programme malveillant : 4.18.26040.7
• Version du moteur : 1.1.26040.8

Pourquoi les moteurs antivirus sont des cibles fréquentes

Les moteurs antivirus restent des cibles privilégiées pour les chercheurs sécurité et les cybercriminels.

La raison est simple : ils analysent constamment des fichiers potentiellement dangereux avec des privilèges très élevés.

Microsoft Defender doit notamment :

• décompresser des archives
• inspecter des scripts
• analyser des exécutables
• surveiller les processus
• interagir avec le noyau Windows

Chaque composant d’analyse représente donc une surface d’attaque potentielle.

Même si Microsoft Defender est aujourd’hui considéré comme l’un des meilleurs antivirus intégrés à Windows, ces nouvelles vulnérabilités rappellent qu’aucun moteur de sécurité n’est totalement exempt de risques.

Notez qu’il y a un mois plusieurs vulnérabilités 0-day visant Windows Defender ont aussi été publiées.
Plus de détails : Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques

L’article Microsoft alerte sur deux nouveaux zero-days Microsoft Defender exploités dans des attaques est apparu en premier sur malekal.com.

Quelques jours après la publication publique du PoC YellowKey, Microsoft réagit enfin en publiant des mesures de mitigation temporaires pour limiter les risques d’exploitation de cette faille BitLocker désormais suivie sous l’identifiant CVE-2026-45585.

Cette vulnérabilité permet de contourner certaines protections BitLocker sur Windows 11 et Windows Server en exploitant l’environnement de récupération Windows (WinRE).

YellowKey exploite WinRE pour contourner BitLocker

Comme nous l’évoquions dans notre précédent article, YellowKey permettrait à un attaquant disposant d’un accès physique :

• de démarrer dans WinRE
• d’utiliser des fichiers spécialement préparés
• puis d’obtenir un accès aux volumes BitLocker sans clé de récupération

Le PoC publié par le chercheur Nightmare-Eclipse (également connu sous le nom Chaotic Eclipse) exploite notamment des mécanismes Transactional NTFS et certains comportements du système de récupération Windows.

Microsoft confirme désormais officiellement le problème et attribue le CVE-2026-45585 à cette faille.

Microsoft recommande de désactiver autofstx.exe

Le point technique le plus intéressant concerne la mitigation proposée par Microsoft.

La firme recommande de supprimer l’entrée autofstx.exe de la clé de registre BootExecute utilisée par le Session Manager Windows.

Concrètement, autofstx.exe correspond au composant FsTx Auto Recovery Utility utilisé dans WinRE pour rejouer certaines transactions NTFS pendant les opérations de récupération système.

Selon plusieurs analyses sécurité, YellowKey exploiterait justement ce mécanisme Transactional NTFS afin :

• de manipuler certains fichiers système
• de supprimer winpeshl.ini
• puis d’obtenir une invite de commande non restreinte dans WinRE

En désactivant autofstx.exe, Microsoft bloque donc une partie importante de la chaîne d’exploitation.

Microsoft recommande aussi TPM + PIN

Autre point important : Microsoft recommande désormais explicitement d’utiliser BitLocker avec une configuration TPM + PIN plutôt que TPM seul.

Aujourd’hui, beaucoup de PC Windows 11 utilisent BitLocker en mode TPM-only :

• le TPM déverrouille automatiquement le disque au boot
• aucun code PIN n’est demandé
• l’expérience utilisateur reste transparente

Le problème est que ce mode devient plus vulnérable aux attaques physiques ou aux manipulations du processus de démarrage.

Avec TPM + PIN :

• un code doit être saisi avant le boot Windows
• le TPM seul ne suffit plus
• l’attaque YellowKey devient beaucoup plus difficile à exploiter

Microsoft recommande aussi :

• de protéger l’UEFI/BIOS par mot de passe
• de verrouiller l’ordre de boot
• de limiter le démarrage USB
• de surveiller les accès WinRE inhabituels

Pourquoi Microsoft ne publie pas encore de correctif

Pour le moment, aucun patch complet n’est disponible.

Microsoft explique travailler sur une mise à jour de sécurité future mais préfère publier immédiatement des mitigations afin de réduire les risques pendant la période de vulnérabilité publique.

Le contexte est compliqué car :

• le PoC a déjà été publié
• plusieurs chercheurs ont reproduit la faille
• les exploitations pourraient rapidement apparaître
• BitLocker est activé par défaut sur beaucoup de PC Windows 11

Microsoft précise toutefois qu’aucune exploitation active massive n’a encore été observée pour le moment.

Une série de zero-days Windows publiés publiquement

YellowKey s’inscrit dans une série inhabituelle de divulgations publiques réalisées par Nightmare-Eclipse depuis plusieurs semaines :

• BlueHammer
• RedSun
• GreenPlasma
• MiniPlasma
• UnDefend
• YellowKey

Plusieurs de ces PoC visent :

• les privilèges SYSTEM
• BitLocker
• WinRE
• les protections Windows historiques

Le chercheur accuse Microsoft d’avoir ignoré certains rapports de vulnérabilités, ce qui aurait conduit à ces divulgations publiques après Patch Tuesday.

Pour approfondir ces sujets, consultez ces actualités :

L’article YellowKey : Microsoft publie une mitigation pour le zero-day BitLocker (CVE-2026-45585) est apparu en premier sur malekal.com.

Une nouvelle faille de sécurité visant BitLocker inquiète actuellement la communauté cybersécurité. Un chercheur a publié un exploit Proof of Concept (PoC) baptisé « YellowKey » qui permettrait de contourner la protection BitLocker sur certains systèmes Windows 11 et Windows Server.

Le problème est particulièrement sensible car BitLocker est aujourd’hui activé par défaut sur de nombreux PC Windows 11 afin de protéger les données en cas de vol ou d’accès physique au disque.

Une faille BitLocker exploitée via une clé USB

Selon les informations publiées par BleepingComputer et Tom’s Hardware, la faille exploite le fonctionnement de l’environnement de récupération Windows (WinRE).

Le scénario est relativement simple :

• des fichiers spécifiques sont copiés sur une clé USB
• le PC démarre dans l’environnement WinRE
• l’exploit déclenche ensuite une invite de commande élevée
• le disque BitLocker devient accessible sans demander la clé de récupération

Le chercheur affirme que la faille fonctionne notamment sur :

• Windows 11
• Windows Server 2022
• Windows Server 2025

Windows 10 ne semblerait pas concerné selon les premiers tests.

Une attaque nécessitant un accès physique

Le point important est que cette vulnérabilité nécessite un accès physique à la machine.

L’attaquant doit pouvoir :

• accéder au PC
• brancher une clé USB
• démarrer dans l’environnement de récupération Windows

Il ne s’agit donc pas d’une faille exploitable à distance via Internet.

Cependant, cela reste problématique pour :

• les ordinateurs portables volés
• les machines d’entreprise
• les serveurs physiquement accessibles
• les postes sensibles utilisant uniquement TPM sans PIN BitLocker

Le chercheur Kevin Beaumont a confirmé avoir reproduit le problème sur certains systèmes.

BitLocker et WinRE au cœur du problème

La faille exploiterait le fait que certains composants WinRE conservent un accès au volume déchiffré pendant certaines phases de récupération système ou de démarrage.

Le PoC utiliserait notamment :

• des transactions NTFS
• des fichiers spéciaux placés dans System Volume Information
• des mécanismes internes liés à WinRE

Cela permettrait de contourner certaines protections BitLocker sur des configurations TPM-only.

Les configurations utilisant TPM + PIN pourraient être mieux protégées, même si le chercheur affirme disposer d’autres variantes non publiées.

Microsoft n’a pas encore publié de correctif

À l’heure actuelle, Microsoft n’a pas encore publié de correctif officiel ni attribué de CVE publique à YellowKey.

Le contexte est également particulier car le chercheur « Chaotic Eclipse » avait déjà publié récemment plusieurs zero-days Windows après avoir accusé Microsoft d’avoir ignoré certains rapports de sécurité.

Parmi les précédentes vulnérabilités publiées :

• BlueHammer
• RedSun
• UnDefend
• GreenPlasma

Microsoft avait finalement corrigé discrètement certaines d’entre elles après publication publique des PoC.

BitLocker a déjà connu plusieurs problèmes récents

Cette nouvelle vulnérabilité intervient alors que BitLocker a déjà rencontré plusieurs incidents ces derniers mois.

Récemment, certaines mises à jour Windows 11 comme KB5083769 et KB5082052 provoquaient des demandes inattendues de récupération BitLocker sur certains PC après modification des fichiers de démarrage et des paramètres TPM/PCR7.

Microsoft a depuis publié des correctifs pour Windows 11 25H2 avec KB5089549 afin de résoudre ces problèmes de récupération forcée. notre précédent article sur les problèmes BitLocker liés aux mises à jour KB5083769 et KB5082052

Ces incidents montrent à quel point BitLocker dépend fortement :

• du TPM
• du Secure Boot
• des PCR UEFI
• de WinRE
• de la chaîne de démarrage Windows

Toute modification dans ces composants peut avoir un impact direct sur le mécanisme de protection des volumes.

Faut-il désactiver BitLocker ?

Pour le moment, non.

Même avec cette faille, BitLocker reste une protection importante contre :

• le vol de données
• l’accès direct au disque
• les attaques hors ligne classiques

En revanche, cette affaire rappelle qu’un chiffrement disque dépend aussi :

• de la sécurité du firmware
• du TPM
• de l’environnement de récupération
• de la configuration de démarrage

Les administrateurs et utilisateurs sensibles peuvent envisager plusieurs mesures complémentaires :

• utiliser BitLocker avec TPM + PIN
• protéger l’accès BIOS/UEFI par mot de passe
• désactiver le boot USB si possible
• surveiller les futures mises à jour Microsoft

L’article Une faille BitLocker permettrait d’accéder à des disques chiffrés Windows : un PoC publié est apparu en premier sur malekal.com.

Si vous utilisez le gestionnaire de mots de passe intégré à Microsoft Edge, et que vous le trouvez cool, hé bien accrochez-vous les amis, car Tom Jøran Sønstebyseter Rønning, chercheur norvégien en cybersécurité, vient de publier sur GitHub un PoC qui dump TOUS vos credentials en clair directement depuis la mémoire du processus du navigateur ! Et de ce que j'ai compris, Microsoft a l'air d'assumer ça tranquillou...

Et n'allez pas croire qu'activer "l'Authentification avant remplissage automatique" dans Edge règle le souci... Ça ne change absolument RIEN au problème, parce que les credentials sont chargés en clair en RAM dès l'ouverture du navigateur. Cette option bloque uniquement l'interface, et pas la mémoire. La seule vraie parade, c'est donc de basculer carrément vers un gestionnaire de mots de passe comme Bitwarden, KeePassXC, ou Mistikee car tant qu'ils restent verrouillés, ils ne chargent rien en mémoire.

Le PoC, baptisé EdgeSavedPasswordsDumper, tient en un seul fichier C#. Tom a choisi .NET Framework 3.5 plutôt qu'une version récente, parce que AMSI, l'Antimalware Scan Interface qui inspecte en temps réel le code .NET sous Windows, a une couverture vraiment réduite sur la 3.5 par rapport aux versions modernes. Du coup, le binaire passe plus facilement sous les radars des EDR et antivirus.

Plusieurs vulnérabilités zero-day affectant Windows et Microsoft Defender suscitent une forte inquiétude dans la communauté sécurité.

Initialement publiées sous forme de preuves de concept (PoC), ces failles sont désormais exploitées dans des attaques réelles, avec un impact potentiellement majeur sur la sécurité des systèmes.

Des zero-day publiées avec code d’exploitation

À l’origine de cette situation, un chercheur en sécurité connu sous le pseudonyme “Chaotic Eclipse” a publié plusieurs exploits fonctionnels.
Jeudi 16 avril 2026, les chercheurs en sécurité de Huntress Labs ont signalé avoir constaté que ces trois failles « zero-day » étaient exploitées dans la nature, la vulnérabilité BlueHammer faisant l’objet d’attaques depuis le 10 avril.

Parmi eux :

• RedSun
• BlueHammer
• UnDefend

Ces vulnérabilités ciblent principalement Microsoft Defender et certains composants internes de Windows.

Ces exploits sont disponibles publiquement, ce qui facilite leur utilisation par des attaquants.

RedSun : une élévation de privilèges jusqu’au niveau SYSTEM

La vulnérabilité RedSun permet une élévation de privilèges locale (LPE).

Concrètement, un attaquant peut :

• partir d’un compte utilisateur standard
• exploiter le comportement de Microsoft Defender
• obtenir les privilèges NT AUTHORITY\SYSTEM

soit le niveau le plus élevé sur Windows.

Cette faille exploite un problème dans la gestion des fichiers par Defender.

Lors de la détection d’un fichier malveillant, le moteur antivirus peut tenter de le manipuler ou de le restaurer.
En utilisant des techniques avancées (jonctions NTFS, redirections de chemin), un attaquant peut détourner cette opération.

Résultat :

• écriture de fichiers dans des dossiers sensibles (ex : System32)
• exécution de code avec privilèges SYSTEM
• prise de contrôle complète du système

Ci-dessous, un exemple de PoC qui permet d’obtenir les privilèges élevés dans Windows (NT Authority\System) :

Fait important : la vulnérabilité RedSun a été rendue encore plus critique par la publication d’un exploit fonctionnel (PoC) accessible publiquement.
Contrairement à une simple description technique, ce code permet à n’importe quel attaquant de reproduire facilement l’élévation de privilèges, ce qui accélère fortement son exploitation dans des attaques réelles.

UnDefend : contourner les protections de Microsoft Defender

Une autre faille, baptisée UnDefend, adopte une approche différente.

Elle permet de :

• bloquer les mises à jour de Microsoft Defender
• altérer certaines protections
• maintenir un système dans un état vulnérable

*Concrètement :

• l’antivirus semble actif
• mais ses capacités de détection sont réduites

Ce type de vulnérabilité est particulièrement dangereux dans des attaques prolongées.

BlueHammer déjà corrigée, mais des failles toujours actives

Microsoft a corrigé la vulnérabilité BlueHammer via les mises à jour récentes.

Cependant :

• RedSun et UnDefend ne sont pas encore corrigées
• des exploitations sont déjà observées

La situation reste donc critique.

Des attaques déjà observées dans la nature

Ces vulnérabilités ne sont plus théoriques.

Des chercheurs en sécurité confirment leur utilisation dans des attaques réelles, notamment pour :

• obtenir des privilèges SYSTEM
• désactiver les protections
• installer des malwares persistants

Ce type d’attaque correspond à une phase classique :

• accès initial (phishing, malware…)
• élévation de privilèges (LPE)
• prise de contrôle du système

Un problème potentiellement structurel

L’enchaînement de ces vulnérabilités met en évidence un point important : le problème ne semble pas isolé.

Ces failles exploitent toutes :

• des opérations internes réalisées avec des privilèges élevés
• des manipulations de fichiers sensibles
• des mécanismes de remédiation mal sécurisés

En clair : le logiciel censé protéger Windows peut, dans certains cas, devenir un vecteur d’attaque.

Pourquoi ces failles sont particulièrement dangereuses

Plusieurs éléments rendent cette situation critique :

• exploits publics disponibles
• exploitation déjà en cours
• absence de correctif pour certaines failles
• cible : Microsoft Defender (présent sur tous les PC Windows)

Cela augmente fortement le risque d’attaques opportunistes.

Quels risques pour les utilisateurs ?

Ces vulnérabilités ne permettent pas une attaque à distance directe.

Mais, elles deviennent critiques dans un scénario courant :

• un malware s’exécute avec des droits limités
• il exploite la faille
• il obtient les privilèges SYSTEM
• il prend le contrôle total du système

C’est une technique largement utilisée dans les attaques modernes.

Que faire en attendant un correctif ?

En l’absence de patch complet, les bonnes pratiques restent essentielles :

• maintenir Windows et Defender à jour
• éviter d’exécuter des fichiers inconnus
• utiliser un compte non administrateur
• surveiller les comportements anormaux

Dans les environnements professionnels :

• renforcer la supervision
• utiliser des solutions EDR
• isoler les systèmes à risque

Conclusion

Les vulnérabilités RedSun et UnDefend illustrent une réalité importante : même les outils de sécurité peuvent devenir des points faibles

Avec des exploits publics et une exploitation déjà active, ces zero-day représentent un risque sérieux pour les systèmes Windows.

La vigilance reste essentielle, en attendant que Microsoft publie des correctifs complets.e essentielle, en attendant que Microsoft publie des correctifs pour ces failles critiques.

L’article Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques est apparu en premier sur malekal.com.

Cette année, les certificats Secure Boot de votre PC arrivent à expiration, avec des conséquences directes sur la sécurité de votre système. Ces certificats sont en effet au cœur du démarrage sécurisé (Secure Boot), une fonctionnalité de sécurité essentielle présente sur tous les ordinateurs modernes qui vérifie, dès l’allumage, que tous les programmes qui se … Lire la suite

Source