Microsoft a publié des mesures d'atténuation pour protéger votre PC Windows de la faille zero-day YellowKey (CVE-2026-45585). Voici comment les appliquer.
Le post Windows : comment se protéger de la faille zero-day YellowKey ? a été publié sur IT-Connect.
Office 24 Pro Plus pour seulement 10 euros, forcément ce prix intrigue alors qu’il faut payer plusieurs centaines d’euros sur le site de Microsoft. On vous explique comment ça marche et pourquoi cette offre est sûre.
L’article Office 2024 Pro à 10€ : pourquoi l’offre de VIP-URcdkey est si peu chère et sans risque est apparu en premier sur Tom’s Hardware.
Quelques jours après la publication publique du PoC YellowKey, Microsoft réagit enfin en publiant des mesures de mitigation temporaires pour limiter les risques d’exploitation de cette faille BitLocker désormais suivie sous l’identifiant CVE-2026-45585.
Cette vulnérabilité permet de contourner certaines protections BitLocker sur Windows 11 et Windows Server en exploitant l’environnement de récupération Windows (WinRE).
Comme nous l’évoquions dans notre précédent article, YellowKey permettrait à un attaquant disposant d’un accès physique :
Le PoC publié par le chercheur Nightmare-Eclipse (également connu sous le nom Chaotic Eclipse) exploite notamment des mécanismes Transactional NTFS et certains comportements du système de récupération Windows.
Microsoft confirme désormais officiellement le problème et attribue le CVE-2026-45585 à cette faille.
Le point technique le plus intéressant concerne la mitigation proposée par Microsoft.
La firme recommande de supprimer l’entrée autofstx.exe de la clé de registre BootExecute utilisée par le Session Manager Windows.
Concrètement, autofstx.exe correspond au composant FsTx Auto Recovery Utility utilisé dans WinRE pour rejouer certaines transactions NTFS pendant les opérations de récupération système.
Selon plusieurs analyses sécurité, YellowKey exploiterait justement ce mécanisme Transactional NTFS afin :
Connexionwinpeshl.iniEn désactivant autofstx.exe, Microsoft bloque donc une partie importante de la chaîne d’exploitation.
Autre point important : Microsoft recommande désormais explicitement d’utiliser BitLocker avec une configuration TPM + PIN plutôt que TPM seul.
Aujourd’hui, beaucoup de PC Windows 11 utilisent BitLocker en mode TPM-only :
Le problème est que ce mode devient plus vulnérable aux attaques physiques ou aux manipulations du processus de démarrage.
Avec TPM + PIN :
Microsoft recommande aussi :
Pour le moment, aucun patch complet n’est disponible.
Microsoft explique travailler sur une mise à jour de sécurité future mais préfère publier immédiatement des mitigations afin de réduire les risques pendant la période de vulnérabilité publique.
Le contexte est compliqué car :
Microsoft précise toutefois qu’aucune exploitation active massive n’a encore été observée pour le moment.
YellowKey s’inscrit dans une série inhabituelle de divulgations publiques réalisées par Nightmare-Eclipse depuis plusieurs semaines :
Plusieurs de ces PoC visent :
Le chercheur accuse Microsoft d’avoir ignoré certains rapports de vulnérabilités, ce qui aurait conduit à ces divulgations publiques après Patch Tuesday.
Pour approfondir ces sujets, consultez ces actualités :
Sources :
L’article YellowKey : Microsoft publie une mitigation pour le zero-day BitLocker (CVE-2026-45585) est apparu en premier sur malekal.com.
Je suis tombé sur un accessoire à moins de 10 euros qui ne paie pas de mine, et que j'utilise pourtant tous les jours depuis que je l'ai reçu. C'est un simple autocollant. Un carré de vinyle transparent d'environ 8 cm de côté, qui liste les raccourcis clavier essentiels de macOS et se colle dans le coin de votre MacBook.
L'idée est bête comme chou. Au lieu d'aller chercher sur Google "comment faire une capture d'écran sur Mac" pour la centième fois, vous baissez les yeux vers le coin de votre clavier et c'est écrit. Cmd+Maj+4 pour capturer une zone de l'écran, Cmd+Espace pour ouvrir la recherche Spotlight, Cmd+Option+Échap pour forcer une application à quitter. Tout est regroupé sur un petit carré.
La pose se fait en deux minutes. Le vinyle est transparent, donc une fois collé sur la coque ou près du trackpad, ça reste discret et ça ne jure pas avec le design du Mac. Synerlogic conseille de dépoussiérer la surface et d'appliquer l'autocollant progressivement pour éviter les bulles d'air (évidemment moi je me suis précipité, donc ça a laissé quelques bulles, mais l'autocollant se repositionne sans mal pour les retirer). Bon point en plus : la colle n'est pas définitive. Vous pouvez retirer l'autocollant sans laisser la moindre trace, ce qui est cool si vous revendez la machine plus tard.
Le vrai intérêt, c'est pour les gens qui débutent sur Mac. Quand on arrive de Windows, les raccourcis changent tous, et c'est un des trucs les plus agaçants de la transition. Avec la liste sous les yeux, l'apprentissage se fait tout seul, sans effort. Au bout de quelques semaines, vous connaissez les raccourcis par cœur et l'autocollant devient un filet de sécurité pour les commandes que vous utilisez moins souvent.
Et si vous êtes sous Windows, Synerlogic décline exactement le même autocollant en version Windows, avec les raccourcis Windows qui vont bien pour gagner en productivité.
Alors oui, ça reste un autocollant. Il liste les raccourcis classiques, pas les combinaisons exotiques d'un développeur ou d'un monteur vidéo. Et si vous maîtrisez déjà votre Mac sur le bout des doigts, il ne vous apprendra rien. Mais à moins de 10 euros, franchement n'hésitez pas. Disponible ici sur Amazon pour macOS , et ici pour Windows !
Microsoft reconnaît officiellement que la mise à jour de sécurité KB5089549 pour Windows 11 peut échouer à l’installation avec l’erreur 0x800f0922 sur certains PC.
Le problème touche principalement Windows 11 25H2 après le Patch Tuesday de mai 2026 et semble lié aux nouvelles mises à jour du Secure Boot 2023 intégrées dans cette cumulative.
L’erreur 0x800f0922 n’est pas nouvelle sous Windows Update. Elle apparaît généralement lorsque Windows rencontre un problème pendant :
Avec KB5089549, Microsoft confirme que certains systèmes peuvent :
Dans certains cas, plusieurs redémarrages successifs peuvent également survenir avant l’échec final.
Cette mise à jour contient notamment les nouveaux certificats Secure Boot 2023 qui remplacent progressivement les anciens certificats UEFI de 2011 arrivant à expiration en juin 2026.
Or, la mise à jour de ces composants sensibles du démarrage Windows nécessite :
Sur certaines configurations, ces opérations échoueraient pendant la phase d’installation.
Microsoft précise que le problème touche principalement les systèmes utilisant certaines configurations TPM ou Secure Boot spécifiques.
Le problème semble principalement lié à la partition système EFI (ESP — EFI System Partition), utilisée par Windows pour stocker les composants de démarrage UEFI, Secure Boot et BitLocker.
Avec KB5089549, Microsoft déploie notamment les nouveaux certificats Secure Boot 2023 ainsi que des modifications des fichiers de boot. Or, ces opérations nécessitent d’écrire de nouveaux fichiers dans la partition EFI.
Le souci est que beaucoup de PC disposent d’une partition EFI très petite :
Et cette partition contient déjà :
Microsoft explique que les systèmes disposant de 10 Mo ou moins d’espace libre dans l’ESP sont particulièrement touchés.
Pendant l’installation :
Mais lors de la phase de reboot — vers 35-36 % d’installation — l’espace devient insuffisant et le processus échoue. Windows déclenche alors automatiquement un rollback avec le message : “Nous n’avons pas pu terminer les mises à jour d’annulation du message d’erreur des modifications.”
Dans les journaux, plusieurs erreurs reviennent fréquemment :
SpaceCheck: Insufficient free spaceServicingBootFiles failed. Error = 0x70SpaceCheck: <value> used by third-party/OEM files outside of Microsoft boot directoriesLe dernier message est particulièrement intéressant car il montre que certains constructeurs OEM ajoutent leurs propres fichiers EFI dans la partition système, réduisant encore davantage l’espace disponible.
Cela explique aussi pourquoi le problème est difficile à corriger globalement :
Microsoft recommande actuellement d’utiliser un Known Issue Rollback (KIR) côté entreprise afin de désactiver temporairement le changement responsable du problème.
L’installation de la mise à jour de sécurité de mai 2026 peut échouer avec une erreur 0x800f0922
Le contexte est un peu ironique car KB5089549 corrige justement un autre problème important introduit par les précédentes mises à jour Windows 11.
Les mises à jour KB5083769 et KB5082052 provoquaient chez certains utilisateurs des écrans de récupération BitLocker après installation des updates mensuels.
Microsoft avait alors expliqué que :
entraient en conflit avec les nouvelles mises à jour de sécurité du démarrage Windows.
KB5089549 était censée corriger définitivement ces problèmes BitLocker sur Windows 11 25H2.
Mais visiblement, la mise à jour introduit maintenant de nouveaux soucis d’installation chez certains utilisateurs.
Pour le moment, Microsoft n’a pas publié de solution définitive.
La firme indique enquêter sur :
Un futur correctif devrait être publié dans une prochaine cumulative ou via Known Issue Rollback (KIR).
En attendant, Microsoft recommande surtout :
Depuis plusieurs mois, Microsoft déploie progressivement une énorme transition de sécurité autour du démarrage Windows :
Le problème est que Windows doit rester compatible avec :
Résultat : la moindre modification du processus de boot peut provoquer :
A consulter sur le sujet :
Sources :
L’article KB5089549 : Microsoft confirme des erreurs 0x800f0922 lors de l’installation de la mise à jour Windows 11 est apparu en premier sur malekal.com.
Microsoft veut en finir avec les problèmes de pilotes sous Windows avec une nouveauté intégrée à Windows Update nommée "Cloud-Initiated Driver Recovery".
Le post Microsoft veut mettre fin aux pilotes foireux sur Windows grâce au Cloud a été publié sur IT-Connect.
Un nouveau zero-day Windows baptisé « MiniPlasma » vient d’être publié publiquement avec un exploit Proof of Concept (PoC). La vulnérabilité permettrait à un utilisateur disposant déjà d’un accès local limité d’obtenir les privilèges SYSTEM, soit le niveau d’accès le plus élevé sous Windows.
Cette nouvelle faille a été révélée par le chercheur « Chaotic Eclipse », déjà à l’origine des récents PoC BlueHammer, RedSun, UnDefend et YellowKey visant différentes protections de Windows et BitLocker.
Selon les premières analyses, MiniPlasma cible le service Windows Task Scheduler (Planificateur de tâches).
Le PoC exploiterait une mauvaise gestion des liens symboliques et des permissions de certains fichiers utilisés pendant l’exécution de tâches système. L’attaquant pourrait alors détourner ce mécanisme pour exécuter du code avec les privilèges SYSTEM.
Concrètement, un utilisateur standard pourrait :
Le PoC publié permettrait d’obtenir un shell SYSTEM en quelques secondes sur certaines versions de Windows.
MiniPlasma ne permet pas une compromission à distance directe via Internet. L’attaquant doit déjà disposer :
Mais ce type de faille reste extrêmement critique dans les chaînes d’attaque modernes.
En pratique, les cybercriminels utilisent souvent ce genre d’élévation de privilèges après :
L’objectif est ensuite d’obtenir les privilèges SYSTEM afin de :
Selon le chercheur Chaotic Eclipse, MiniPlasma ne serait pas une vulnérabilité entièrement nouvelle. Le problème toucherait en réalité le pilote système cldflt.sys, utilisé par Windows pour les fonctionnalités Cloud Filter liées notamment à OneDrive et aux fichiers à la demande.
La faille se situerait plus précisément dans la routine HsmOsBlockPlaceholderAccess.
Le plus surprenant est que cette vulnérabilité avait déjà été signalée à Microsoft en septembre 2020 par le chercheur James Forshaw de Google Project Zero. À l’époque, elle avait reçu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif déployé en décembre 2020.
Mais selon Chaotic Eclipse, le problème serait toujours exploitable aujourd’hui.
Le chercheur affirme que :
Encore plus inquiétant, il explique que le PoC original publié par Google fonctionnerait toujours sans modification majeure.
BleepingComputer a d’ailleurs testé l’exploit sur un système Windows 11 Pro entièrement à jour avec les mises à jour Patch Tuesday de mai 2026.
Dans leur test :
Cela montre que la vulnérabilité reste exploitable même sur des systèmes Windows 11 récents et entièrement patchés.
Comme pour les précédentes vulnérabilités publiées par Chaotic Eclipse, Microsoft n’aurait pas encore publié de correctif officiel au moment de la publication du PoC.
Le chercheur accuse une nouvelle fois Microsoft d’avoir ignoré ou retardé le traitement de certains rapports de sécurité.
Ces derniers mois, plusieurs PoC similaires ont été publiés publiquement avant correction :
Certaines de ces vulnérabilités ont finalement été corrigées discrètement dans les Patch Tuesday suivants après médiatisation.
Pour aller plus loins sur le sujet :
Même avec :
Windows reste vulnérable aux élévations de privilèges locales lorsque certains composants historiques du système sont mal protégés.
Le problème est que Windows conserve encore énormément de mécanismes hérités pour :
Le Planificateur de tâches Windows est notamment une cible régulière des chercheurs sécurité car il fonctionne avec des privilèges très élevés et interagit avec de nombreux composants système sensibles.
Pour le moment, Microsoft n’a pas communiqué officiellement sur MiniPlasma.
Mais au vu des précédents cas récents, il est probable que :
Les administrateurs système et utilisateurs sensibles doivent donc :
Sources :
L’article MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié est apparu en premier sur malekal.com.
Si vous tournez sur un Windows 11 à jour, sachez qu'il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu'au compte SYSTEM. Pour rappel, c'est le compte tout-puissant de la machine, c'est à dire celui qui passe même au-dessus de l'administrateur ! Et cette faille elle s'appelle MiniPlasma, et elle vient d'être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.
Et le plus gênaaaaant dans l'histoire, c'est que Microsoft était censé avoir bouché ce trou depuis 2020, dans cette CVE-2020-17103 , après un signalement de James Forshaw, le chercheur du Project Zero de Google.
Le bug vit sa life dans cldflt.sys, le pilote Cloud Files de Windows. Ce truc c'est un composant système livré d'office avec l'OS, qui est principalement utilisé par OneDrive mais aussi par d'autres stockages cloud. Et bien sûr, il reste présent sur la machine même si vous ne touchez jamais à OneDrive.
Du coup, en passant par une API non documentée baptisée CfAbortHydration, l'exploit crée des clés de registre là où il ne devrait pas, et s'en sert pour détourner un chemin d'exécution privilégié, ce qui finit par lui ouvrir les droits SYSTEM.
Le code de démo est dispo sur le dépôt GitHub du projet , écrit en C#, et il lance directement un cmd.exe en SYSTEM quand ça fonctionne. Parce que oui, ça ne marche pas à tous les coups puisque c'est une race condition. Le taux de réussite varie donc d'une machine à l'autre.
Le PoC en action : à gauche, un compte « user » standard lance l'exploit (« Exploit succeeded ») et à droite, le shell obtenu où whoami renvoie nt authoritysystem.
Maintenant, le truc qui fait vraiment mal au cul, c'est que la fameuse faille patchée par Microsoft est donc toujours vulnérable 6 ans après sa détection. Personne ne vérifie chez krosoft ??? C'est dingue !
Selon le chercheur, c'est exactement la même faiblesse qu'à l'époque. Reste à savoir pourquoi ça leur a échappé. Le patch n'a peut-être jamais corrigé la racine du problème, ou il a sauté quelque part en cours de route, j'en sais rien... Faudra analyser le code de Windows et de ses MAJ au fil du temps pour comprendre où ça a merdé.
Du coup, votre machine peut avoir avalé tous les Patch Tuesday et rester quand même exposée à une élévation de privilèges locale dès qu'un attaquant (ou un malware) arrive à exécuter du code dessus.
J'sais pas vous, mais on a déjà vu ce film avec d'autres dossiers Windows, comme cette histoire de BitLocker contournable , ou encore ces contournements de Secure Boot signés Microsoft . Certains trous de sécu sont tout simplement increvables !
Nightmare-Eclipse n'en est d'ailleurs pas à son coup d'essai puisque le chercheur enchaîne les divulgations publiques de 0-days Windows depuis quelques semaines, du contournement BitLocker au déni de service sur Defender en passant par plusieurs élévations de privilèges, toujours avec le PoC qui va bien et zéro divulgation coordonnée.
Et y'a pas de "on prévient Microsoft et on attend gentiment 90 jours" ici. Il balance tout car il est a ras-le-bol de la lenteur de Microsoft. C'est violent, dangereux et clairement discutable côté éthique, mais ça met une grosse pression pour corriger au plus vite. Maintenant pour nous tous, ça signifie surtout qu'un PoC public et fonctionnel, ce sont des malwares qui vont vite l'intégrer.
Côté protection, il n'y a pas de correctif officiel ni la moindre déclaration de Microsoft et ucune mitigation validée par l'éditeur non plus. Puis pour un particulier, pas de moyen simple de savoir après coup si la machine a été touchée.
La bonne nouvelle (relative c'est vraie), c'est que l'attaque est purement locale, donc il faut déjà pouvoir exécuter du code sur l'ordi pour en profiter. Votre vraie défense, c'est donc votre hygiène tech habituelle, à savoir ne pas lancer le premier binaire douteux venu, se méfier des cracks et autres pièces jointes, et côté admins, une surveillance EDR des élévations de privilèges inattendues vaut mieux qu'une règle maison non testée.
