
Quelques heures après avoir corrigé RoguePlanet, une faille zero-day dans Windows Defender, Microsoft se retrouve déjà dans le viseur du chercheur Nightmare Eclipse. Dans une nouvelle publication, il affirme que le correctif lui-même ouvrirait la porte à un déni de service capable de saturer tout le disque d’une machine Windows 11 ou Windows Server 2025. Voici ce que l’on sait.
Un correctif qui introduirait de nouveaux effets de bord
Le 8 juillet 2026, Microsoft a corrigé la faille RoguePlanet (CVE-2026-50656), une élévation de privilèges qui donnait les droits SYSTEM sur des postes Windows 10 et Windows 11 pourtant à jour. Le correctif poussé par Microsoft est distribué via le canal de mise à jour du moteur de Microsoft Defender, avec la version 1.1.26060.3008. J’en ai parlé dans cet article dédié : Microsoft corrige la faille zero-day RoguePlanet.
Le chercheur à l’origine de la vulnérabilité, connu sous les pseudonymes Nightmare Eclipse et Chaotic Eclipse, a décidé de revenir à la charge. Dans une nouvelle publication, il ne parle plus de RoguePlanet, mais des effets de bord qu’il dit avoir repérés suite à l’installation du correctif.
La mise à jour du moteur 1.1.26060.3008 n’apporte pas seulement le patch pour RoguePlanet. Elle intègre aussi des améliorations que Microsoft associe à de la défense en profondeur, ce qui est censé durcir le moteur d’analyse au-delà de cette faille.
C’est justement ces protections qui seraient à l’origine d’un problème. Selon Nightmare Eclipse, ces mitigations ajoutées dans mpengine.dll pourraient, dans certains scénarios, amener Windows Defender à divulguer 8 octets de données à l’ouverture d’un fichier. Toutefois, cette fuite ne serait pour l’instant exploitable qu’au niveau des pilotes, et non depuis un compte utilisateur standard. Mais il y travaille, comme on peut s’en douter.
Un disque local qui se remplit via un serveur SMB piégé
Le second problème est déjà plus gênant. Mais avant d’en parler, rappelons comment fonctionne Windows Defender : l’antivirus de Microsoft applique des limites strictes sur la taille des fichiers qu’il analyse ou met en quarantaine. C’est compréhensible, puisque mettre en quarantaine un fichier gigantesque risquerait de saturer l’espace disque.
D’après le chercheur, les fonctions liées à SpyNet dans mpengine.dll tiennent à conserver une copie locale du flux de données alternatif :Zone.Identifier, quelle que soit sa taille. En orientant Defender vers un serveur SMB malveillant qui sert un flux :Zone.Identifier surdimensionné, puis qui cesse volontairement de répondre à une requête de lecture tout en gardant la connexion ouverte, l’antivirus se retrouverait bloqué. Il conserverait un verrou sur les fichiers concernés et remplirait progressivement tout le disque.
Source : Nightmare Eclipse
Le chercheur affirme avoir reproduit ce comportement sur deux environnements récents :
Windows 11 25H2.
Windows Server 2025.
Windows n’irait pas jusqu’à planter complètement, mais bon quand le disque est saturé, c’est rapidement instable. Des applications et des services sont susceptibles de s’arrêter de façon aléatoire, notamment parce qu’ils ne parviennent plus à écrire sur le disque.
Pour exploiter ce scénario d’attaque, un potentiel pirate doit inciter la victime à accéder à un serveur SMB piégé. “J’essaie de le faire fonctionner avec WebDAV afin de pouvoir contourner l’authentification obligatoire”, précise Nightmare Eclipse.
Nul doute qu’il y aura un nouvel épisode à ce bras de fer entre Microsoft et Nightmare Eclipse. Vous pouvez consulter le rapport sur cette page.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.
