Microsoft a corrigé deux failles de sécurité dans Microsoft Defender, l’antivirus par défaut sur les PC sous Windows. Les pirates exploitaient déjà ces deux vulnérabilités avant la sortie du correctif. La première permet de prendre le contrôle total d’un PC et la seconde de le faire planter. Microsoft a déployé les correctifs en urgence sur tous les PC concernés.
- Microsoft a corrigé deux failles déjà exploitées dans Microsoft Defender, dont une permet de prendre le contrôle total d’un PC sous Windows.
- Les correctifs sont déployés automatiquement avec les versions 1.1.26040.8 et 4.18.26040.7, mais les entreprises doivent vérifier leur installation si les mises à jour automatiques sont désactivées.
- La CISA a ajouté les deux vulnérabilités à son catalogue officiel et impose aux agences fédérales d’installer le correctif avant le 3 juin 2026.
Microsoft Defender tourne gratuitement sur la grande majorité des PC sous Windows, même sur Windows 10 malgré la fin du support. Il s’agit de la solution de de la firme de Redmond. Les deux failles découvertes touchent des composants centraux de l’antivirus. Microsoft corrige chaque mois des dizaines de vulnérabilités dans son système d’exploitation, avec un précédent Patch Tuesday qui a colmaté 167 failles dont deux zero-day.
Microsoft Defender a 2 failles majeures utilisées par les pirates
La première vulnérabilité vise le Malware Protection Engine, le moteur qui analyse et neutralise les menaces sur le PC. Cette faille porte le code CVE-2026-41091 avec un score de gravité de 7,8 sur 10. Le défaut provient du mécanisme de résolution des chemins de fichiers.
En clair, le moteur suit un raccourci vers un fichier sensible sans vérifier sa légitimité. Un pirate avec un accès limité au PC se donne alors les droits d’administrateur. Il installe des logiciels, modifie des fichiers système et crée de nouveaux comptes administrateurs.
La seconde faille touche la plateforme antimalware de Microsoft Defender, mais aussi d’autres produits de sécurité de la firme comme System Center Endpoint Protection et Security Essentials. Cette vulnérabilité porte le code CVE-2026-45498. Un pirate provoque un déni de service et fait planter tout le système d’exploitation.
Le plantage sert souvent de diversion. Pendant que le PC redémarre, une autre attaque vise les données de l’utilisateur en arrière-plan. Selon plusieurs spécialistes, les deux failles se cachent derrière les codes d’exploitation RedSun et UnDefend, publiés sur GitHub par un chercheur mécontent. Windows n’en arrête pas avec ces brèches puisqu’une mise à jour précédente avait corrigé trois failles zero-day.
Microsoft a rapidement publié un correctif pour combler ces failles
La réaction de Microsoft fut rapide. La firme de Redmond a commencé à déployer les correctifs sur tous les PC sous Windows concernés. La majorité des utilisateurs n’ont rien à faire. Les nouvelles versions du moteur de protection 1.1.26040.8 et 4.18.26040.7 arrivent automatiquement sur les systèmes configurés pour recevoir les mises à jour en continu.
« Pour les déploiements en entreprise comme pour les particuliers, le paramétrage par défaut de nos logiciels antimalware maintient à jour de façon automatique les définitions de menaces et le moteur de protection », indique Microsoft. Ce déploiement automatique ressemble à celui d’un récent correctif d’urgence pour les claviers et souris USB. Le même Patch Tuesday a permis de corriger 120 failles de sécurité dans Windows dont 17 critiques.
Sauf que voilà, la mise à jour automatique n’est pas toujours active. Les équipes informatiques des entreprises la désactivent souvent pour des raisons de stabilité. Microsoft demande donc de vérifier l’installation du correctif. La manipulation prend quelques minutes. Il suffit d’aller dans la Sécurité Windows > Protection contre les virus et menaces > Mises à jour de la protection.
Des failles prises très au sérieux par les autorités
Les administrateurs prudents préfèrent parfois installer les correctifs manuellement. Surtout après les mises à jour d’urgence publiées par Microsoft en janvier qui ont créé des bugs. Pour ces parcs professionnels, Microsoft propose une installation automatique des correctifs dès le démarrage du PC.
Les autorités prennent ces deux failles très au sérieux. La CISA, agence étasunienne de cybersécurité, a ajouté les deux vulnérabilités à son catalogue officiel des failles exploitées. Et pour cause, « les cybercriminels recourent fréquemment à ce genre de vulnérabilité, qui fait peser une menace sérieuse sur les administrations fédérales », écrit l’agence.
La CISA impose à toutes les agences civiles fédérales d’installer le correctif avant le 3 juin 2026. Pour garder un parc à jour face à ce type de menace, Microsoft impose aussi la mise à jour 25H2 à tous les PC Windows 11.
Réagissez à cet article !