Windows Defender : Le patch RoguePlanet soulève des préoccupations de sécurité
Quelques heures après la mise à jour de sécurité pour corriger la faille zero-day RoguePlanet, Microsoft fait face à des allégations de l’expert en cybersécurité, Nightmare Eclipse. Ce dernier affirme que le correctif pourrait introduire un déni de service, capable de saturer le disque d’ordinateurs exécutant Windows 11 ou Windows Server 2025.
Un correctif qui introduit de nouveaux effets de bord
Le 8 juillet 2026, Microsoft a publié un correctif pour la vulnérabilité RoguePlanet (CVE-2026-50656), qui permettait une élévation de privilèges sur des systèmes Windows 10 et Windows 11. Cette mise à jour, identifiée sous la version 1.1.26060.3008, a été diffusée via le canal de mise à jour de Microsoft Defender. Cependant, Nightmare Eclipse a récemment signalé des effets secondaires préoccupants liés à ce correctif.
La mise à jour inclut des améliorations de sécurité destinées à renforcer le moteur d’analyse de Defender. Cependant, selon Nightmare Eclipse, ces nouvelles protections pourraient entraîner la divulgation de 8 octets de données lors de l’ouverture d’un fichier. Actuellement, cette fuite serait exploitable uniquement au niveau des pilotes, et non par un utilisateur standard.
Un disque local qui se remplit via un serveur SMB piégé
Un autre problème soulevé concerne la gestion des fichiers par Windows Defender. L’antivirus impose des limites sur la taille des fichiers qu’il analyse ou met en quarantaine pour éviter de saturer l’espace disque. Selon le chercheur, des fonctions dans le fichier mpengine.dll tentent de conserver une copie locale du flux de données alternatif :Zone.Identifier, sans tenir compte de sa taille.
En dirigeant Windows Defender vers un serveur SMB malveillant, qui fournit un flux :Zone.Identifier trop volumineux et cesse de répondre aux requêtes de lecture, l’antivirus pourrait se retrouver bloqué, verrouillant ainsi des fichiers et remplissant progressivement le disque dur.
Nightmare Eclipse a reproduit ce comportement sur deux systèmes récents : Windows 11 25H2 et Windows Server 2025. Bien que le système ne plante pas complètement, la saturation du disque peut entraîner une instabilité, provoquant l’arrêt aléatoire d’applications et de services.
Pour exploiter cette vulnérabilité, un pirate potentiel doit inciter un utilisateur à accéder à un serveur SMB compromis. Nightmare Eclipse a indiqué qu’il envisageait d’utiliser WebDAV pour contourner l’authentification.
Cette situation illustre les défis continus auxquels fait face Microsoft dans sa lutte contre les vulnérabilités de sécurité. Pour plus de détails, le rapport complet est disponible ici.
Source : IT-Connect
