Microsoft corrige les failles de Defender exploitées dans des attaques réelles

Le 21 mai 2026, Microsoft a diffusé des correctifs hors bande pour deux failles zéro de Windows Defender que des attaques réelles avaient déjà confirmées. Le chercheur Chaotic Eclipse a révélé les deux vulnérabilités, connues publiquement sous le nom de RedSun et UnDefend, sans divulgation coordonnée. Elles n'avaient pas de CVE et n'étaient pas corrigées lorsqu'elles ont été publiées pour la première fois. La société Huntress, spécialisée dans la sécurité des points finaux, a confirmé l'exploitation active de ces vulnérabilités avant même que les correctifs n'existent.

Les effets des deux failles de sécurité

La plus grave des deux, CVE-2026-41091a un score CVSS de 7,8 et cible le moteur de protection contre les logiciels malveillants de Microsoft. La faille provient d'une mauvaise résolution de lien avant l'accès au fichier, ce qui permet à un attaquant à faible privilège de manipuler un lien symbolique ou une jonction de répertoire au cours d'une analyse Defender et d'escalader vers un contrôle complet au niveau SYSTEM. Aucune autorisation de démarrage élevée n'est requise.

La seconde, CVE-2026-45498est classée CVSS 4.0 et cible la plateforme antimalware Microsoft Defender https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-defender-zero-days-exploited-in-attacks/. Elle fonctionne comme un déni de service contre le moteur de protection lui-même, bloquant silencieusement les mises à jour des définitions et dégradant la capacité de Defender à détecter de nouvelles menaces. La faille affecte System Center Endpoint Protection, System Center 2012 R2 et 2012 Endpoint Protection, et Security Essentials en plus des installations standard de Defender. Aucune des deux vulnérabilités ne déclenche d'alerte visible pour l'utilisateur ou l'administrateur lors de l'exploitation.

Ce que le correctif couvre et ce qui reste ouvert

Les deux CVE sont résolues dans la version 1.1.26040.8 du moteur de protection contre les logiciels malveillants et dans la version 4.18.26040.7 de la plateforme antimalware. Microsoft fournit les correctifs automatiquement par le biais du mécanisme de mise à jour intégré de Defender. Les administrateurs doivent s'assurer que leurs déploiements utilisent ces versions ou des versions plus récentes, en particulier dans les environnements gérés ou sous surveillance aérienne où les mises à jour automatiques peuvent être retardées.

La CISA a ajouté ces deux vulnérabilités à son catalogue Known Exploited Vulnerabilities le 20 mai 2026, donnant aux agences de la branche exécutive civile fédérale jusqu'au 3 juin pour confirmer l'application des correctifs. La même mise à jour du moteur qui résout CVE-2026-41091 corrige également une troisième faille, CVE-2026-45584, un débordement de mémoire tampon basé sur le tas avec un CVSS de 8.1 qui permet l'exécution de code à distance sans interaction de l'utilisateur. CVE-2026-45584 n'a pas encore été exploité dans la nature.

RedSun et UnDefend sont les quatrième et cinquième failles publiées par Chaotic Eclipse au cours des six dernières semaines, toutes ciblant des composants de sécurité Windows. MiniPlasmaqui donne un accès SYSTEM sur des machines Windows 11 entièrement patchées via le pilote Cloud Filter, n'a toujours pas été corrigé. Pour en savoir plus sur cette révélation et son contexte dans la série, consultez notre rapport précédent :