### Une nouvelle faille zero-day fait surface Le chercheur en sécurité **Nightmare Eclipse** a publié une nouvelle faille zero-day, 'RoguePlanet', ciblant **Microsoft Defender**. Cette divulgation intervient rapidement après le Patch Tuesday de juin 2026 de **Microsoft**, qui a corrigé deux failles précédemment signalées par le même chercheur. ### Capacités de RoguePlanet L'exploit 'RoguePlanet' exploite une condition de concurrence au sein de **Microsoft Defender** pour lancer une invite de commande avec des privilèges SYSTEM. **Nightmare Eclipse** affirme que la vulnérabilité affecte les appareils Windows 10 et Windows 11 entièrement patchés. Un exploit de preuve de concept (PoC) a été partagé sur un dépôt Git auto-hébergé, suite à des suppressions présumées de leurs exploits précédents de **GitHub** et **GitLab** par **Microsoft**. "L'exploit est une condition de concurrence, donc c'est un coup de chance. J'ai réussi à obtenir un taux de succès de 100 % sur certaines machines, tandis qu'il a eu du mal à fonctionner sur d'autres", a déclaré **Nightmare Eclipse** dans le dépôt. La faille aurait été testée avec succès sur les versions officielles et Canary de Windows 11, ainsi que sur les systèmes Windows 10 avec les dernières mises à jour de sécurité de juin 2026 installées. ### Vérification indépendante La société de cybersécurité **ThreatLocker** a reproduit indépendamment la faille, confirmant sa viabilité contre les systèmes Windows 11 entièrement patchés exécutant **KB5094126**. Danny Jenkins, PDG de **ThreatLocker**, a noté : "Notre analyse initiale confirme que l'exploit RoguePlanet est viable et fonctionne comme décrit. Les organisations utilisant une liste blanche d'applications peuvent empêcher l'exécution de l'exploit, offrant ainsi une couche de protection efficace contre cette attaque." ### Évolution de RCE à LPE Initialement, 'RoguePlanet' a été développé comme une vulnérabilité d'exécution de code à distance (RCE). Il exploitait la manière dont **Microsoft Defender** gérait les fichiers sur les partages SMB distants, conduisant potentiellement **Defender** à écraser ses propres fichiers. Un autre scénario RCE impliquait de contraindre une victime à ouvrir un partage SMB avec des paramètres spécifiques d'évaluation de liens symboliques activés. Cependant, **Nightmare Eclipse** affirme que **Microsoft** a discrètement renforcé **Defender** à la mi-mai en corrigeant l'API `mpengine!SysIO*`, ce qui a bloqué les attaques par jonction. Cela a forcé une réécriture de 'RoguePlanet', limitant sa capacité démontrée actuelle à l'escalade de privilèges locaux (LPE). ### Litige de divulgation en cours Cette publication fait partie d'un litige en cours entre **Nightmare Eclipse** et **Microsoft** concernant les pratiques de divulgation de vulnérabilités et de primes aux chercheurs de l'entreprise. Au cours des derniers mois, le chercheur a divulgué publiquement plusieurs failles zero-day Windows, notamment **BlueHammer**, **RedSun**, **GreenPlasma** et **YellowKey**, ciblant **Microsoft Defender**, **BitLocker** et d'autres composants Windows. **Microsoft** a corrigé les failles **GreenPlasma** et **YellowKey** dans les mises à jour du Patch Tuesday de juin 2026. Auparavant, **Microsoft** avait répondu à ces divulgations par des avertissements concernant la collaboration avec les forces de l'ordre pour des "activités malveillantes causant un préjudice réel à nos clients", ce qui a été interprété par beaucoup dans la communauté de la cybersécurité comme une menace contre le chercheur. **Nightmare Eclipse** allègue que **Microsoft** a ciblé et supprimé à plusieurs reprises ses dépôts précédents de **GitHub** et **GitLab**, ce qui l'a conduit à créer une plateforme de code auto-hébergée sur projectnightcrawler.dev. **Ghost Protocol** a contacté **Microsoft** pour obtenir une déclaration concernant cette nouvelle faille zero-day et mettra à jour ce rapport dès que plus d'informations seront disponibles.