La faille RoguePlanet serait présente sur des systèmes entièrement mis à jour sous Windows 10 et Windows 11 et permettrait d’obtenir des privilèges système, le niveau d’accès le plus élevé sous Windows.
Microsoft reconnaît l’existence de la faille
Lorsque la vulnérabilité a été révélée la semaine dernière, Microsoft est d’abord resté évasif. L’entreprise s’était contentée d’indiquer qu’elle examinait les signalements. Mais la situation a depuis évolué. Microsoft a officiellement répertorié la faille sous le numéro CVE-2026-50656 et confirme qu’une mise à jour de sécurité est en cours de développement. Selon la personne qui a découvert la faille, connue en ligne sous le pseudonyme de Nightmare Eclipse, le problème réside dans le Microsoft Malware Protection Engine, la technologie sur laquelle repose Defender. En exploitant ce qu’on appelle une « condition de course », un attaquant pourrait ouvrir une invite de commande avec des droits SYSTEM.
Peu après sa découverte, le chercheur a publié une preuve de concept permettant de tester la faille. Il a notamment souligné que l’attaque ne fonctionne pas de manière aussi fiable sur tous les PC. Sur certains systèmes, l’exploit réussirait pratiquement à chaque fois, tandis que sur d’autres machines, il nécessiterait beaucoup plus de tentatives. Il est à noter que, selon le chercheur, cette vulnérabilité peut également être exploitée lorsque la protection en temps réel de Defender reste active. Cela rend cette faille d’autant plus intéressante pour les attaquants.
Le conflit entre Microsoft et le chercheur continue de s’intensifier
RoguePlanet n’est pas simplement une nouvelle faille de sécurité. Elle constitue le dernier chapitre d’une bataille qui dure depuis des mois entre Microsoft et Nightmare Eclipse. Au cours des derniers mois, le chercheur a déjà publié plusieurs vulnérabilités « zero-day » pour Windows, notamment BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey et UnDefend. Certaines concernaient Defender, tandis que d’autres vulnérabilités ont été découvertes dans BitLocker ou d’autres composants de Windows.
La semaine dernière, lors du Patch Tuesday, Microsoft a corrigé trois de ces failles : GreenPlasma, MiniPlasma et YellowKey. À peine ces correctifs étaient-ils disponibles que RoguePlanet réapparaissait déjà en ligne.
Selon le chercheur, les tensions entre les deux parties portent sur la manière dont Microsoft traite les signalements de bogues et les programmes de récompense. Microsoft avait déjà réagi à ces révélations publiques en menaçant d’intenter des poursuites judiciaires contre les personnes qui, selon l’entreprise, causent un préjudice à ses clients en rendant publiques des vulnérabilités avant qu’une solution ne soit disponible.
Microsoft n’a pas encore précisé la date exacte de publication du correctif pour RoguePlanet. L’entreprise indique toutefois qu’une solution est en cours d’élaboration et que de plus amples informations suivront dès que la mise à jour sera prête à être déployée.
