CVE-2026-41091 : Defender EoP et DoS ajoutés au KEV CISA

Les faits

Le 20 mai 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté sept nouvelles entrées à son catalogue des vulnérabilités connues et exploitées (KEV — Known Exploited Vulnerabilities). Parmi ces sept entrées, deux failles récentes affectant directement Microsoft Defender ont concentré l'attention de la communauté cybersécurité mondiale : CVE-2026-41091 et CVE-2026-45498. Leur présence simultanée dans le KEV constitue une preuve formelle d'exploitation active en environnement réel, ce qui leur confère un caractère d'urgence absolue pour toute organisation opérant sous Windows.

CVE-2026-41091 est une vulnérabilité d'élévation de privilèges (Elevation of Privilege, EoP) dans Microsoft Defender. Ce type de faille est redoutable car il permet à un attaquant disposant déjà d'un accès limité à un système — par exemple via un malware, une session utilisateur compromise, ou l'exploitation préalable d'une autre vulnérabilité — d'escalader ses droits jusqu'au niveau SYSTEM ou administrateur local. Dans le cas de Microsoft Defender, la dangerosité est amplifiée par le fait que l'antivirus s'exécute avec des privilèges élevés par conception, créant une surface d'attaque permanente sur chaque poste Windows. D'après NVD/NIST et les bulletins Microsoft, la vulnérabilité tire parti d'un contrôle d'accès insuffisant dans les composants internes de Defender, permettant à un processus malveillant de s'exécuter dans un contexte de sécurité plus privilégié que prévu, sans nécessiter d'interaction utilisateur supplémentaire une fois le premier accès obtenu.

CVE-2026-45498 est une vulnérabilité de déni de service (Denial of Service, DoS) dans Microsoft Defender. Bien qu'un DoS puisse sembler moins critique qu'une exécution de code à distance, son exploitation dans le contexte de l'antivirus Windows présente des risques opérationnels majeurs : la désactivation temporaire ou permanente de la protection en temps réel ouvre une fenêtre d'exploitation pour des malwares ou des ransomwares qui auraient normalement été détectés et bloqués. Combinée à CVE-2026-41091, cette faille DoS s'inscrit naturellement dans une chaîne d'attaque en deux temps : neutraliser la défense via le DoS, puis élever les privilèges via l'EoP pour prendre le contrôle total du système cible.

La CISA a précisé dans son alerte du 20 mai 2026 que ces deux vulnérabilités font l'objet d'une exploitation active confirmée par des acteurs malveillants. Les agences fédérales américaines soumises au BOD 22-01 (Binding Operational Directive 22-01) disposent d'un délai réglementaire très court pour déployer les correctifs. L'ajout au KEV intervient dans un contexte de pression déjà élevée sur les équipes de sécurité Microsoft : le Patch Tuesday de mai 2026 a traité 132 CVE au total, dont 29 de sévérité critique, selon l'analyse publiée par Sophos.

La mise à jour du catalogue KEV du 20 mai 2026 est frappante par sa composition historique. Aux côtés des deux failles Defender récentes, la CISA a réajouté cinq vulnérabilités datant de 2008 à 2010 : CVE-2008-4250 (buffer overflow Windows, associé au ver Conficker), CVE-2009-1537 (Microsoft DirectX), CVE-2009-3459 (Adobe Acrobat Reader heap overflow), CVE-2010-0249 et CVE-2010-0806 (Internet Explorer use-after-free). Ce mélange révèle une réalité alarmante : des organisations continuent d'exploiter des systèmes non corrigés depuis plus de quinze ans, offrant aux attaquants des vecteurs d'intrusion initiaux sur des infrastructures archaïques, ensuite combinés à des techniques modernes comme CVE-2026-41091 pour maximiser l'impact.

Ce n'est pas la première fois en 2026 que Microsoft Defender se retrouve au coeur d'une alerte critique. Début avril 2026, CVE-2026-33825 — surnommée BlueHammer par les chercheurs de Picus Security — avait déjà été révélée comme un zero-day exploité permettant une élévation de privilèges locale dans Defender, avec un score CVSS de 7.8. La récurrence des vulnérabilités critiques dans Defender soulève des questions fondamentales sur la fiabilité des composants de sécurité système, dont la compromission a des effets en cascade sur l'ensemble de la posture de défense d'une organisation. Selon les analyses de SecurityWeek, les failles EoP dans les composants de sécurité sont particulièrement prisées dans les phases de post-exploitation des attaques APT.

Les détails techniques complets de CVE-2026-41091 n'ont pas été intégralement publiés au moment de la rédaction de cet article, conformément à la politique de divulgation coordonnée de Microsoft. Cependant, la classification CVSS évalue les vulnérabilités EoP dans Defender autour de 7.5 à 8.0 (High), avec un vecteur d'attaque local (AV:L), une complexité faible (AC:L), des privilèges faibles requis (PR:L) et aucune interaction utilisateur (UI:N). Pour CVE-2026-45498, le vecteur DoS implique généralement une entrée réseau malformée ou un fichier spécialement conçu pour déclencher l'arrêt du service Defender, selon les bulletins de sécurité Microsoft de mai 2026.

La fenêtre temporelle entre la découverte d'une vulnérabilité dans Defender et son exploitation massive est historiquement courte. Les acteurs de menace — qu'il s'agisse de groupes ransomware ou d'APT étatiques — disposent de ressources suffisantes pour analyser les patches Microsoft et développer des exploits fonctionnels en quelques heures. L'exploitation active confirmée par la CISA signifie que des outils d'attaque opérationnels existent déjà dans la nature au moment de la lecture de cet article. Dans les environnements Active Directory, un compte SYSTEM peut permettre des mouvements latéraux vers les contrôleurs de domaine via des techniques telles que Pass-the-Hash, aboutissant à une compromission totale du domaine.

Impact et exposition

CVE-2026-41091 expose potentiellement l'intégralité du parc Windows mondial : Microsoft Defender est activé par défaut sur Windows 10, Windows 11 et l'ensemble des versions récentes de Windows Server. Toute organisation n'ayant pas déployé les patches de mai 2026 est exposée. L'exploitation nécessite un premier accès au système cible — généralement via phishing, exploitation d'une autre faille ou accès physique — avant de pouvoir élever les droits vers SYSTEM.

CVE-2026-45498 (DoS) présente un risque spécifique dans les environnements à haute disponibilité : la neutralisation de Defender crée une fenêtre d'exploitation exploitable par des implants dormants préinstallés, ou permet l'installation de ransomwares qui contournent ainsi la détection comportementale. Les secteurs santé, finance et infrastructures critiques — où Defender est fréquemment la seule couche de protection endpoint — sont particulièrement exposés.

La combinaison des deux failles dans une même session d'exploitation KEV par la CISA suggère que des acteurs de menace les utilisent conjointement. Les incidents documentés impliquant des failles EoP dans les composants de sécurité Windows montrent des temps de latéralisation inférieurs à deux heures entre le premier accès et la compromission complète du domaine, d'après les analyses d'incidents publiées par Mandiant et CrowdStrike.

Les organisations sous réglementation NIS2 (applicable en France depuis octobre 2024) ou DORA dans le secteur financier ont une obligation réglementaire de traiter les vulnérabilités critiques avec exploitation active dans des délais très courts. L'ajout au KEV de la CISA, bien que d'application directe aux seules agences fédérales américaines, constitue un signal fort sur le niveau de risque et est généralement repris dans les recommandations des CERT européens.

Recommandations immédiates

• Appliquer immédiatement les mises à jour cumulatives Microsoft de mai 2026 via Windows Update — Microsoft Security Update Guide, bulletin mai 2026
• Prioriser les contrôleurs de domaine Active Directory, serveurs exposés à Internet, et systèmes hébergeant des données sensibles
• Activer la mise à jour automatique des signatures et du moteur Windows Defender sur tous les endpoints via GPO
• Surveiller les journaux d'événements Windows : Event ID 4672 (attribution de droits sensibles), 4673, 4674 (utilisation de droits sensibles)
• Pour environnements déconnectés ou WSUS : déployer manuellement les patches via Microsoft Update Catalog
• Activer Windows Defender Credential Guard et Virtualization-Based Security (VBS) pour limiter l'impact d'une escalade de privilèges réussie
• Auditer les processus s'exécutant en contexte SYSTEM pour détecter des comportements inhabituels