Microsoft a à peine publié un correctif de sécurité pour Windows Defender que la nouvelle d'une autre faille de sécurité s'est déjà répandue sur Internet. Cette fois, il s'agit d'une seconde faille zero-day, divulguée publiquement par le même chercheur en sécurité qui avait déjà publié le code d'attaque initial. La situation devient particulièrement tendue, car cette nouvelle vulnérabilité est apparue quelques heures seulement après la publication du correctif officiel. Plus inquiétant encore, cette nouvelle faille permet une fois de plus d'obtenir les privilèges SYSTEM, le niveau d'accès le plus élevé sous Windows. Cela confère aux cybercriminels un contrôle quasi total sur l'ordinateur de la victime. Cette nouvelle faille est révélée par un individu utilisant le pseudonyme Nightmare-Eclipse . Il s'agit du même chercheur qui avait précédemment publié un outil permettant de contourner les mécanismes de sécurité de Windows Defender. La première faille avait été prise très au sérieux par Microsoft et corrigée dans la mise à jour de sécurité d'avril. L'entreprise a corrigé la vulnérabilité, référencée CVE-2026-33825, mais une autre méthode d'attaque est apparue presque aussitôt. Ce nouveau code, baptisé RedSun, exploite une autre faille dans le fonctionnement du moteur antivirus de Microsoft. D'après l'auteur, cette faille exploite le moment où Defender analyse un fichier suspect signalé par le service de sécurité cloud. Au lieu de le supprimer correctement, le système peut le réécrire au même emplacement. Ce processus peut être utilisé pour écraser des fichiers système et obtenir des privilèges d'administrateur.

« C'est tout simplement absurde. Lorsque Windows Defender détecte qu'un fichier malveillant possède une étiquette cloud, pour une raison aussi stupide qu'hilarante, l'antivirus censé protéger décide, à tort, de simplement réenregistrer le fichier trouvé à son emplacement d'origine. La preuve de concept exploite ce comportement pour écraser des fichiers système et obtenir des privilèges d'administrateur », peut-on lire dans le dépôt . « Je crois que les antivirus sont conçus pour supprimer les fichiers malveillants. »

La description publiée par le chercheur est particulièrement virulente à l'égard de Microsoft. L'auteur affirme que la logique du programme antivirus est absurde, puisqu'un outil conçu pour éliminer les menaces peut se retourner contre le système lui-même. En pratique, un attaquant ayant préalablement obtenu un accès limité à un ordinateur peut exploiter une nouvelle faille de sécurité pour en prendre le contrôle total. Ceci ouvre la voie à l'installation de logiciels malveillants, au vol de données, aux atteintes à la sécurité et à la circulation sur le réseau de l'entreprise. En entreprise, un tel scénario peut avoir des conséquences bien plus graves qu'une attaque contre un simple ordinateur personnel. Cette histoire a aussi une dimension personnelle. Nightmare-Eclipse ne cache pas que ses actions sont une forme de représailles. Dans un article publié, le chercheur accuse Microsoft d'avoir ruiné sa vie et d'avoir violé des accords antérieurs concernant des rapports de sécurité. L'auteur laisse entendre que la collaboration avec le Centre de réponse aux incidents de sécurité de Microsoft s'est soldée par un conflit, et que l'entreprise était censée le gérer d'une manière qu'elle n'entend plus ignorer. Dans une nouvelle publication, il menace de révéler d'autres vulnérabilités, dont certaines bien plus graves permettant l'exécution de code à distance. Si ces affirmations se confirment, Microsoft pourrait se retrouver confrontée à un défi majeur, tant sur le plan de son image que sur le plan technique.

« Ils m'ont personnellement dit qu'ils allaient me ruiner la vie, et ils l'ont fait », écrit l'analyste. « Ils m'ont tout pris. Ils m'ont complètement anéanti et m'ont fait subir toutes les vilaines moqueries possibles. À un moment donné, la situation était devenue tellement grave que je me suis demandé si j'avais affaire à une grande entreprise ou à quelqu'un qui prenait simplement plaisir à me voir souffrir, mais il semble que ce fût une décision mutuelle. »

Le problème majeur réside dans la diffusion publique du code d'attaque. Par conséquent, ce ne sont pas seulement les spécialistes de la sécurité qui analysent cette nouvelle méthode. Les cybercriminels cherchant à prendre rapidement le contrôle d'ordinateurs Windows pourraient également exploiter cette faille. Ces dernières années, la diffusion d'outils d'attaque prêts à l'emploi a entraîné à plusieurs reprises une forte augmentation des incidents. Plus l'outil est simple, plus il est rapidement déployé dans le cadre de campagnes dangereuses. Dans le cas de Windows Defender, la situation est particulièrement délicate car il s'agit d'un composant présent sur des millions d'ordinateurs à travers le monde. Microsoft n'a pas encore commenté en détail cette nouvelle faille. L'entreprise s'est contentée de réaffirmer sa position habituelle, soulignant qu'elle analyse tous les rapports de sécurité et encourage la divulgation responsable des vulnérabilités. Toutefois, cela risque de ne pas suffire à rassurer les utilisateurs et les administrateurs, d'autant plus que la seconde vulnérabilité est apparue presque immédiatement après la correction de la première. Cette conjonction d'événements soulève des questions : le problème provient-il d'un simple bug ou d'un problème plus profond au sein de l'architecture de Defender ?