Code d’exploitation du bug Defender publié après le patch Tuesday, ravivant les conflits sur les pratiques de divulgation non coordonnées.
La querelle de longue date entre Microsoft et le chercheur en sécurité Nightmare Eclipse est entrée dans un nouveau chapitre.
Eclipse, qui a passé les derniers mois à publier publiquement des vulnérabilités Windows non corrigées tout en se disputant avec Microsoft sur les pratiques de divulgation des vulnérabilités, a publié un code d’exploitation pour une nouvelle faille zero-day baptisée RoguePlanet.
Le chercheur a déclaré que leur exploit utilise un problème de condition de concurrence affectant Microsoft Defender, donnant aux attaquants moins de cent pour cent de chances de succès, ce qui peut potentiellement accorder des privilèges au niveau SYSTÈME, même sur Windows fraîchement mis à jour.
Comme auparavant, l’exploit arrive juste après que Microsoft a publié ses correctifs du mardi de juin 2026, dans lesquels la société a publié des correctifs pour plus de 200 failles de sécurité, dont 32 critiques. « Le timing est révélateur, MiniPlasma a été publié le 13 mai 2026, exactement un jour après le cycle du Patch Tuesday de Microsoft, garantissant que les défenseurs n’auront pas de correctif officiel du fournisseur pendant des semaines », avait déclaré Agnidipta Sarkar, évangéliste en chef chez ColorTokens, à propos de la précédente divulgation « MiniPlasma » d’Eclipse.
L’exploit a été supprimé dans un nouveau référentiel GitHub, « MSNightmare », sûrement une référence pointue à Microsoft, après que GitHub (propriété de Microsoft) ait récemment supprimé les référentiels originaux d’Eclipse. Plusieurs révélations antérieures d’Eclipse auraient été intégrées à des attaques réelles peu de temps après que le code d’exploitation soit devenu disponible, provoquant des avertissements de la part de Microsoft et de plusieurs fournisseurs de sécurité.
Le bug permet l’exécution de code via l’accès SYSTEM
Dans un article de blog du 9 juin intitulé « RoguePlanet, un historique rapide », Eclipse a écrit à propos d’une première itération du bug de Windows Defender. Bien que les détails techniques restent rares, le blog mentionne qu’il s’agit d’amener une victime à ouvrir un « .vhd(x) sur un serveur SMB distant ».
Faire cela, explique le texte, aurait pour conséquence que « Defender écraserait ses propres fichiers et, évidemment, le résultat final serait un RCE ». Une interprétation approximative de la description est que le bug permet d’exécuter des métadonnées malveillantes à partir d’une image de disque dur virtuel (.vhd) spécialement conçue et stockée sur un serveur SMB (Server Message Block) distant.
L’exploit PoC d’Eclipse génère finalement un shell SYSTEM, permettant à un attaquant potentiel d’exécuter du code arbitraire.
Un correctif de mi-mai pour Defender aurait scellé le chemin d’attaque initial détaillé par Eclipse, rendant les « attaques de jonction inutiles », ce qui les a obligés à réécrire RoguePlanet pour contourner le correctif. La version actuelle de l’exploit fonctionnerait contre Windows 11 (chaîne officielle + Canary) et Windows 10 avec le correctif de juin 2026 installé.
Le code PoC, cependant, s’est révélé défavorable aux installations de Windows Server, car les utilisateurs standard « ne peuvent pas monter une image ISO ». Même si Eclipse était « trop épuisé » pour reconcevoir un exploit pour cette exception, ils sont certains qu’un exploit est possible.
La querelle derrière les défauts
Microsoft a récemment supprimé les comptes GitHub d’Eclipse et a également désactivé leur accès au Microsoft Security Response Center (MSRC). Suite à l’interdiction, GitLab a également suspendu les miroirs secondaires du chercheur.
Dans un article de blog du 27 mai, Microsoft a critiqué le manque de divulgation coordonnée des vulnérabilités et a menacé de poursuites judiciaires, affirmant que les divulgations publiques avaient aidé les attaquants et impliquaient une unité de lutte contre les crimes numériques en coordination avec les forces de l’ordre.
« Les vulnérabilités connues sous les noms de RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma et MiniPlasma n’ont pas été divulguées de manière responsable », a écrit la société à propos des bogues divulgués par Eclipse. « Les divulgations non coordonnées qui mettent entre les mains de mauvais acteurs le code de validation de principe de vulnérabilités non corrigées ne sont jamais justifiables et ont des conséquences réelles. »
L’analyste en cybersécurité Kevin Beamant a qualifié la réponse de Microsoft d’« incendie de poubelle de leur propre initiative ». Écrivant à propos d’un ancien chercheur du nom de « SandboxEscaper », qui a également divulgué des bogues de Microsoft et publié des codes d’exploitation, Beaumont a souligné le précédent de Microsoft en matière d’embauche de tels chercheurs en 2019.
« Je fais valoir que Microsoft a engagé très publiquement quelqu’un pour faire la même chose que le dernier blog de Microsoft prétend être un comportement criminel », a déclaré Beaumont.
Eclipse a annoncé son retour sur GitHub le 9 juin. « Oui, c’est encore GitHub, Microsoft a oublié que même s’ils ont banni mes comptes GitLab et GitHub, ils ne peuvent pas effacer mon code. Une fois qu’il est public, vous ne pouvez pas le supprimer. »
