CISA a ajouté les vulnérabilités Microsoft Malware Protection Engine et Microsoft Defender Antimalware Platform à son catalogue KEV, suggérant une exploitation dans la nature.
Microsoft a publié des correctifs d’urgence pour deux vulnérabilités Zero Day dans les composants de protection contre les logiciels malveillants de Microsoft Defender. Les failles permettent aux attaquants locaux d’obtenir des privilèges au niveau du système ou d’empêcher le service anti-malware de fonctionner correctement.
Ces deux conditions sont utiles lors d’une attaque de malware, d’abord pour empêcher la détection si le système s’appuie uniquement sur la protection des points finaux de Microsoft, et ensuite pour obtenir un contrôle total sur le système.
Mercredi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté les deux vulnérabilités, identifiées comme CVE-2026-41091 et CVE-2026-45498, à son catalogue de vulnérabilités exploitées connues (KEV), signalant qu’une exploitation a été détectée dans la nature.
Les experts en sécurité rapportent que les deux failles sont à l’origine des exploits RedSun et UnDefend publiés le mois dernier sur GitHub par un chercheur mécontent qui se fait appeler Nightmare Eclipse. Bien que cela soit plausible, Microsoft n’a pas mentionné ces noms d’exploits dans ses avis pour ces deux vulnérabilités.
La faille d’élévation de privilèges, CVE-2026-41091, se trouve dans mpengine.dll, le composant Microsoft Malware Protection Engine (MPE) qui gère l’analyse des fichiers, la détection et le nettoyage des logiciels malveillants dans plusieurs produits anti-malware Microsoft : Microsoft Defender, Microsoft System Center Endpoint Protection, Microsoft System Center 2012 R2 Endpoint Protection, Microsoft System Center 2012 Endpoint Protection et Microsoft Security Essentials.
La vulnérabilité est décrite comme une résolution de lien incorrecte avant un problème d’accès aux fichiers. En d’autres termes, il s’agit d’une routine de suivi de liens ou de raccourcis qui a des conséquences inattendues. La faille est évaluée avec un score CVSS de 7,8, ce qui signifie une gravité élevée.
L’autre vulnérabilité, CVE-2026-45498, se trouve dans la plate-forme Microsoft Defender Antimalware (MsMpEng.exe), qui, avec une série de pilotes en mode noyau, est responsable de la surveillance et de la protection en temps réel. Comme pour MPE, ce composant est utilisé par les autres produits de protection des points finaux de Microsoft.
Bien que Microsoft publie des mises à jour des définitions de logiciels malveillants trois fois par jour, les composants de la plateforme tels que mpengine.dll et MsMpEng.exe ne sont mis à jour qu’une fois par mois ou selon les besoins.
Il est conseillé aux clients de déclencher manuellement une vérification des mises à jour de leur produit respectif et de vérifier qu’ils exécutent la version 1.1.26040.8 ou plus récente du Malware Protection Engine et la version 4.18.26040.7 ou plus récente de la plateforme Microsoft Defender Antimalware. La mise à jour de Malware Protection Engine corrige également une vulnérabilité d’exécution de code à distance identifiée comme CVE-2026-45584, mais cette faille n’a pas été divulguée ou exploitée publiquement.
