Identifiée en tant que CVE-2026-50656, la faille RoguePlanet affectait le moteur d’analyse mpengine.dll de Microsoft Defender. Connu sous le pseudonyme de Nightmare Eclipse, le chercheur à l’origine de la découverte avait publié un code d’exploitation fonctionnel.
Il y a environ un mois, la divulgation publique de cette vulnérabilité zero-day s’inscrivait dans un conflit entre Nightmare Eclipse et Microsoft concernant les pratiques en matière de programme de bug bounty et de signalement des vulnérabilités.
Une faille RoguePlanet qui a inquiété
La vulnérabilité RoguePlanet est une faille de type race condition qui pouvait être exploitée pour obtenir une élévation de privilèges.
Un attaquant était en mesure de s’en servir pour exécuter du code avec les droits les plus élevés du système sur des appareils Windows 11 et Windows 10 entièrement à jour, y compris avec les correctifs du très gros Patch Tuesday de juin 2026.
Nightmare Eclipse avait précisé que l’exploit était opérationnel que la protection en temps réel de Defender soit activée ou non. Par sa nature (race condition ou condition de concurrence), il y avait une part d’aléatoire, mais Nightmare Eclipse avait pu obtenir un taux de réussite de 100 % sur certaines configurations.
Un déploiement transparent pour l’utilisateur
La correction est apportée par une mise à jour du moteur de protection antimalware de Microsoft qui passe en version 1.1.26060.3008. Ce composant est central pour toutes les solutions de sécurité de Microsoft, assurant l’analyse, la détection et la suppression des malwares.
Aucune action particulière n’est requise de la part des utilisateurs. Par défaut, le moteur de protection antimalware de Microsoft Defender et les définitions de malwares sont mis à jour automatiquement.
Le patch a été repéré dans un discret ajout mercredi pour l’avis de sécurité de Microsoft sur la vulnérabilité CVE-2026-50656. Nightmare Eclipse n’est toujours pas crédité pour la trouvaille…