Microsoft a corrigé une faille de sécurité dans Windows Defender et en a ouvert une autre
 Par Nic007
WindowsMicrosoft souhaitait corriger au plus vite une faille de sécurité critique de Windows Defender. Or, l'auteur de la découverte affirme que le correctif publié pourrait engendrer un tout nouveau problème. Selon son analyse, la dernière version du moteur antivirus contient un mécanisme qui, dans certaines conditions, peut être exploité pour saturer progressivement le disque dur de l'ordinateur de la victime. L'histoire a commencé avec la divulgation d'une vulnérabilité baptisée RoguePlanet. Elle a été découverte par un chercheur en sécurité utilisant le pseudonyme de NightmareEclipse, qui critique publiquement Microsoft pour sa gestion des rapports de sécurité concernant Windows. RoguePlanet a reçu la désignation CVE-2026-50656. Cette vulnérabilité permettait d'obtenir des privilèges d'administrateur grâce à un scénario d'attaque bien conçu. Après la publication du code de démonstration par le chercheur, Microsoft a décidé de déployer rapidement un correctif avant le Patch Tuesday de juillet. La mise à jour inclut la bibliothèque mpengine.dll, qui assure le fonctionnement du moteur de détection de logiciels malveillants dans Windows Defender et d'autres solutions de sécurité Microsoft.

D'après NightmareEclipse, le moteur antivirus modifié contient encore des éléments susceptibles d'être exploités par des cybercriminels. Le chercheur affirme que Defender pourrait exposer une petite quantité de données en mémoire lors de certaines opérations d'ouverture de fichiers. La valeur de la fuite en elle-même est faible, mais selon l'auteur de l'analyse, le problème ne s'arrête pas là. Une chaîne d'actions bien orchestrée permettrait d'exploiter simultanément plusieurs mécanismes du système. Parmi les éléments clés figurent le service SpyNet, utilisé pour soumettre des fichiers suspects à l'analyse, la bibliothèque mpengine.dll et la fonctionnalité de flux de données alternatifs (ADS) disponible dans le système de fichiers NTFS. L'élément le plus intéressant de ce scénario réside dans son objectif. Au lieu de détourner des données utilisateur ou d'installer un logiciel malveillant, l'attaque saturerait complètement le disque système. Le chercheur affirme qu'un attaquant pourrait forcer Windows Defender à mettre en quarantaine des fichiers très volumineux. Cela réduirait progressivement l'espace disque disponible jusqu'à rendre le système d'exploitation instable. Un espace disque insuffisant sur la partition système peut engendrer de nombreux problèmes. Windows peut rencontrer des difficultés pour installer les mises à jour, exécuter les applications ou enregistrer les données temporaires. Dans les cas extrêmes, l'ordinateur devient pratiquement inutilisable.

À ce stade, l'exploitation de la technique décrite n'est pas simple. NightmareEclipse explique que la réalisation de l'attaque nécessite une infrastructure correctement préparée, utilisant un serveur SMB personnalisé. Le chercheur a toutefois indiqué travailler sur une méthode permettant d'exploiter la faille à distance, sans nécessiter une telle configuration. S'il parvient à développer un scénario plus efficace, l'importance de cette vulnérabilité pourrait s'accroître considérablement. L'auteur du test a précisé avoir pu reproduire le problème sur des ordinateurs exécutant Windows 11 25H2 et Windows Server 2025. Microsoft n'a pas encore commenté publiquement les nouvelles allégations concernant le correctif. L'entreprise n'a pas non plus confirmé si elle menait une enquête interne sur ces conclusions. La prochaine occasion de publier des correctifs supplémentaires sera lors du prochain Patch Tuesday. C'est à ce moment-là que Windows déploie traditionnellement des mises à jour de sécurité cumulatives qui corrigent les vulnérabilités détectées. Si l'analyse de NightmareEclipse s'avère exacte, Microsoft pourrait être contraint de préparer une nouvelle mise à jour du moteur Windows Defender. Ce serait un cas supplémentaire où un correctif résolvant une faille de sécurité engendrerait un autre problème nécessitant une intervention urgente.
 Lire la suite
 Dernières actualités
 Archives
Informaticien.be - © 2002-2026 Akretio SRL  - Generated via Kelare Haut de page