Quelques heures après le Patch Tuesday de juin 2026, un chercheur connu sous le pseudonyme Nightmare Eclipse a publié RoguePlanet sur son nouveau compte GitHub. La coïncidence n’en est pas une : ce matin-là, Microsoft avait précisément corrigé GreenPlasma et YellowKey, deux zero-days de la même série. GitHub et GitLab ayant retiré ses dépôts précédents sous la pression de Microsoft.
RoguePlanet permet à n’importe quel compte sans privilège d’obtenir les droits les plus élevés de Windows, dits SYSTEM, sur une machine entièrement à jour, KB5094126 incluse. La société ThreatLocker a confirmé avoir reproduit l’exploit sur un Windows 11 avec les dernières mises à jour installées. Microsoft n’a publié ni identifiant CVE ni avis de sécurité. Il n’y a pas de correctif disponible.
Pourquoi votre antivirus vous trahit-il ?
Microsoft Defender analyse et corrige les fichiers suspects avec ses propres droits SYSTEM. RoguePlanet exploite le moment précis où l’antivirus s’empare d’un fichier : en substituant le bon fichier au bon moment, un attaquant force Defender à exécuter du code malveillant à sa place, avec ses propres droits. Résultat : une invite de commandes aux droits SYSTEM, accès maximal sur la machine, sans mot de passe ni élévation visible.
La même technique avait servi pour BlueHammer, une autre faille de cette série noire corrigée en avril. Microsoft avait pansé une instance du problème. La classe de vulnérabilité est restée intacte. Nightmare Eclipse l’admet lui-même : l’exploit est « hit or miss », un pari sur le timing. Mais il revendique un taux de réussite de 100 % sur certaines configurations. La faille requiert un accès local à la machine et ne fonctionne pas sur Windows Server dans sa forme actuelle.
Sept failles en deux mois : Microsoft a un problème de fond
RoguePlanet est la septième divulgation publique de Nightmare Eclipse depuis avril 2026. BlueHammer, RedSun, GreenPlasma, YellowKey, MiniPlasma, UnDefend. Les cibles varient entre Defender, BitLocker et d’autres composants Windows, mais le principe reste le même : profiter des opérations privilégiées de processus système pour remonter jusqu’aux droits SYSTEM. Corriger une instance ne referme pas la porte.
La seule mitigation validée est l’allowlisting applicatif, confirmé par ThreatLocker à nos confrères de Bleeping Computer comme capable de bloquer le PoC en pratique. Une protection hors de portée de l’immense majorité des particuliers. En attendant un correctif, la priorité reste d’installer les mises à jour du jour et de guetter un éventuel patch hors cycle de Microsoft.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
