Le chercheur en sécurité, connu sous le nom de **Chaotic Eclipse** (également **Nightmare-Eclipse**), a divulgué un nouvel exploit zero-day pour **Microsoft Defender**, baptisé **RoguePlanet**. L'exploit PoC, publié sous un nouveau compte GitHub, **MSNightmare**, est une condition de concurrence qui, si elle réussit, confère à un attaquant des privilèges de niveau SYSTEM. "L'exploit est une condition de concurrence, donc c'est un succès ou un échec", a déclaré le chercheur. "J'ai réussi à obtenir un taux de succès de 100 % sur certaines machines, tandis qu'il a eu du mal à fonctionner sur d'autres." ### Impact et portée L'exploitation réussie de **RoguePlanet** aboutit à un shell avec des privilèges de niveau SYSTEM, permettant l'exécution de code arbitraire et des actions non autorisées. L'exploit a été validé sur des machines **Windows 11** et **Windows 10** exécutant les mises à jour du Patch Tuesday de juin 2026, indiquant son efficacité contre les systèmes entièrement patchés. Bien que le PoC actuel ne fonctionne pas sur les instances **Windows Server** en raison d'une dépendance au montage d'images ISO par les utilisateurs standard, **Chaotic Eclipse** a souligné que **Windows Server** est toujours vulnérable à la faille sous-jacente et qu'un exploit redessiné pourrait le cibler. ### Frustration du chercheur et divulgations antérieures **Chaotic Eclipse** a exprimé le lourd tribut personnel qu'a représenté le développement de ce PoC, déclarant : "Faire fonctionner ce PoC m'a vraiment vidé l'âme, cela a gravement dégradé ma santé mentale et physique, mais fin mai, un PoC complet a été développé." Le chercheur a également critiqué les efforts de **Microsoft** pour sécuriser **Defender** contre les attaques de redirection de chemin, affirmant posséder des vulnérabilités supplémentaires de corruption de mémoire au sein de **Defender** et d'autres composants **Microsoft**. Le chercheur en sécurité **Will Dormann** a corroboré la fonctionnalité de l'exploit, notant sur **Mastodon** qu'il "a fonctionné du premier coup pour moi", malgré des rapports d'incohérence. **RoguePlanet** est le dernier d'une série de vulnérabilités **Microsoft Defender** divulguées par **Chaotic Eclipse**, notamment : * **BlueHammer** (**CVE-2026-33825**) * **UnDefend** (**CVE-2026-45498**) * **RedSun** (**CVE-2026-41091**) ### Divulgations non coordonnées et querelle publique Ces divulgations publiques seraient la conséquence d'une rupture de communication entre **Chaotic Eclipse** et **Microsoft**. Le chercheur, qui reste anonyme, a exprimé son mécontentement quant à la manière dont **Microsoft** a géré le processus de divulgation, alléguant la révocation de l'accès à son compte **Microsoft Security Response Center (MSRC)**, le rejet de rapports, l'absence de compensation et la diffamation. **Microsoft** a condamné publiquement ces divulgations non coordonnées, affirmant qu'elles sont "jamais justifiables" et mettent inutilement en danger les clients. Notamment, les trois vulnérabilités **Defender** mentionnées précédemment ont depuis été exploitées dans la nature. Le différend en cours a également conduit au retrait des comptes **GitHub** et **GitLab** de **Chaotic Eclipse**. Le chercheur en sécurité **Kevin Beaumont** a commenté la situation, déclarant : "Microsoft tente d'abuser de sa propriété de GitHub pour ne protéger que ses propres produits, et d'abuser de ses liens étendus avec les forces de l'ordre en qualifiant de comportement criminel la publication d'informations sur les vulnérabilités de ses propres produits." **Microsoft** a répondu via un post X, clarifiant sa position juridique : "Pour être clair sur notre approche des questions juridiques, nous n'avons aucune intention de poursuivre en justice les individus qui mènent ou publient leurs recherches en sécurité. Lorsqu'un individu enfreint la loi et s'engage dans des activités malveillantes causant un préjudice réel à nos clients, nous travaillerons avec les forces de l'ordre de manière appropriée." Ils ont réitéré leur engagement envers la transparence et la **Divulgation Coordonnée de Vulnérabilités (CVD)**, qu'ils considèrent comme essentielle à la protection des clients et à l'amélioration des produits. ### Déclaration officielle de Microsoft En réponse aux demandes, un porte-parole de **Microsoft** a fourni la déclaration suivante : "Microsoft est au courant de la vulnérabilité signalée et enquête activement sur la validité et l'applicabilité potentielle de ces affirmations. Microsoft s'engage à enquêter sur les problèmes de sécurité et à mettre à jour les produits affectés pour protéger les clients dès que possible. Il est important de noter que nous soutenons la divulgation coordonnée de vulnérabilités, une norme de l'industrie qui protège les clients et soutient la communauté de recherche en garantissant que leurs découvertes sont minutieusement étudiées et traitées avant d'être rendues publiques." La situation souligne les défis complexes et les tensions qui peuvent survenir entre les chercheurs en sécurité et les grands fournisseurs de logiciels dans le processus critique de divulgation des vulnérabilités.