Une tactique d’exploitation reposant sur une faille zero-day de Windows Defender, l’antivirus par défaut de Microsoft, vient d’être mise en ligne sur Internet. La divulgation de la méthode découle d’un différend de taille entre un chercheur en cybersécurité et Microsoft. Elle concerne Windows 10, Windows 11 et Windows Server 2019.
Opérant sous le pseudonyme de Chaotic Eclipse, le chercheur a découvert une vulnérabilité dans le code de l’antivirus. La défaillance se situe dans le mécanisme de restauration de fichiers de Windows Defender. En effet, l’antivirus est censé supprimer les fichiers malveillants qu’il détecte. Avec un document piégé, spécialement conçu pour déclencher l’alarme de Defender, il est possible de piéger l’antivirus au moment précis où il tente de nettoyer un fichier. L’attaquant qui exploite la faille peut parvenir à exécuter du code malveillant sur l’ordinateur.
En passant par le MSRC (Microsoft Security Response Center), le canal officiel dédié aux vulnérabilités, le chercheur a prévenu l’éditeur de la faille. Selon Chaotic Eclipse, Microsoft n’a pas pris au sérieux la gravité de la faille. Pour obliger le géant américain à réagir, il a publié un premier exploit permettant de tirer profit de la vulnérabilité, intitulé BlueHammer, au début du mois d’avril.
À lire aussi : Microsoft Defender vulnérable – des pirates trompent l’antivirus Windows pour déployer le ransomware Akira
Des cyberattaques en cours contre des entreprises
Estimant que Microsoft tarde à colmater la brèche, le chasseur de failles a publié deux nouveaux outils d’exploitation, baptisés RedSun et UnDefend. Cette dernière tactique d’exploitation permet de bloquer les mises à jour de Defender, voire de le désactiver entièrement. En l’espace de quelques semaines, le chercheur a constitué une boîte à outils complète pour compromettre la sécurité de Windows en se servant de son antivirus. Ces outils devaient obliger Microsoft à réagir et à proposer un correctif de toute urgence. L’expert Will Dormann s’est penché sur les outils et indique que RedSun fonctionne « de manière fiable à ~100% pour passer d’un utilisateur sans privilèges à des privilèges système sur Windows 11 et Windows Server 2019 et versions ultérieures avec les mises à jour d’avril 2026, ainsi que sur Windows 10, à condition que Windows Defender soit activé ».
Tous les outils ont été mis en ligne sur Github… et des pirates n’ont pas tardé à s’en servir. Le jour même, la société de sécurité Huntress a découvert que des hackers ont utilisé les méthodes de Chaotic Eclipse dans des cyberattaques contre des entreprises. Malgré l’exploitation active de la faille, Microsoft n’a pas encore proposé de correctif officiel pour toutes les failles de Defender. L’éditeur a corrigé les brèches exploitées par BlueHammer avec la mise à jour d’avril 2026, mais les vecteurs utilisés par Redsun et UnDefend sont toujours béantes. Pire, toutes les méthodes d’exploitation sont toujours accessibles sur GitHub.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
