En bref

  • Microsoft a patché trois vulnérabilités dans le moteur de protection Defender, dont CVE-2026-41091 et CVE-2026-45498 sont activement exploitées en conditions réelles et intégrées au catalogue KEV de la CISA.
  • CVE-2026-41091 (CVSS 7.8) permet à un attaquant local d'obtenir des privilèges SYSTEM ; CVE-2026-45584 (CVSS 8.1) est un heap overflow ouvrant la voie à une exécution de code à distance.
  • Bonne nouvelle : le moteur Microsoft Malware Protection Engine se met à jour automatiquement — la plupart des systèmes sont déjà protégés sans intervention manuelle.

Deux failles Defender dans le KEV de la CISA, une troisième RCE sans exploitation connue

Microsoft a publié des correctifs pour trois vulnérabilités affectant Microsoft Defender, dont deux ont été confirmées comme exploitées dans des attaques réelles avant la publication du correctif. La Cybersecurity and Infrastructure Security Agency (CISA) américaine a ajouté CVE-2026-41091 et CVE-2026-45498 à son catalogue Known Exploited Vulnerabilities (KEV), imposant aux agences fédérales civiles américaines un délai de remédiation fixé au 3 juin 2026 en vertu de la Directive Opérationnelle Contraignante BOD 22-01. L'information a été relayée par The Hacker News, Help Net Security et le Security Update Guide officiel de Microsoft (MSRC).

La première vulnérabilité exploitée, CVE-2026-41091, est une faille d'élévation de privilèges (Elevation of Privilege, EoP) dans le Microsoft Malware Protection Engine. Notée CVSS 7.8, elle permet à un attaquant disposant d'un accès préalable à la machine — même avec un compte utilisateur standard sans droits particuliers — d'élever ses privilèges jusqu'au niveau SYSTEM, le niveau de droits le plus élevé sous Windows. Une exploitation réussie permet de désactiver des contrôles de sécurité, d'installer des logiciels persistants indétectables par les utilisateurs standards, de modifier des fichiers système, ou d'accéder à des secrets stockés dans LSASS (Local Security Authority Subsystem Service) comme les hachages de mots de passe ou les tickets Kerberos.

Les équipes de Huntress, société spécialisée dans la détection et réponse managée (MDR), ont observé des tentatives d'exploitation actives de CVE-2026-41091 dans des environnements de production. La description technique de cette vulnérabilité présente des recoupements significatifs avec ce que les chercheurs de Chaotic Eclipse avaient surnommé « RedSun », un zero-day Defender divulgué publiquement ces dernières semaines. CVE-2026-41091 semble être la réponse officielle de Microsoft à cette divulgation, bien que les détails techniques complets restent partiellement non publiés afin d'éviter de faciliter davantage l'exploitation par des acteurs moins sophistiqués.

La seconde vulnérabilité activement exploitée, CVE-2026-45498, a également été intégrée au catalogue KEV de la CISA. Si les détails techniques publics disponibles sont moins abondants que pour CVE-2026-41091, sa présence dans le catalogue KEV — qui n'accepte que des vulnérabilités avec preuve concrète d'exploitation dans la nature — confirme que des attaques réelles sont en cours. Les informations disponibles via Help Net Security et The Hacker News indiquent qu'il s'agit d'un composant du même Microsoft Malware Protection Engine, affectant les systèmes sous Windows avec Defender activé.

La troisième faille, CVE-2026-45584, est techniquement la plus sévère en termes de capacités offertes à un attaquant potentiel : il s'agit d'un débordement de tampon de tas (heap-based buffer overflow) dans Defender, noté CVSS 8.1, qui pourrait permettre une exécution de code à distance (Remote Code Execution, RCE). Un attaquant exploitant ce type de vulnérabilité peut potentiellement faire exécuter du code arbitraire au moteur Defender lors de l'analyse d'un fichier malveillant spécialement conçu. La cible n'a pas besoin d'exécuter le fichier en question ; il suffit que Defender le scanne lors d'un téléchargement, d'une réception par e-mail ou d'un accès réseau. Cependant, aucune preuve d'exploitation dans la nature n'a été rapportée à ce jour pour CVE-2026-45584, ce qui tempère légèrement le niveau d'urgence immédiat.

Les trois vulnérabilités affectent le Microsoft Malware Protection Engine dans sa version 1.26030.3008 et antérieures. Le correctif est intégré dans la version 1.1.26040.8 du moteur. Pour la grande majorité des systèmes Windows avec les mises à jour automatiques activées, cette mise à jour est déployée silencieusement en arrière-plan sans nécessiter de redémarrage ni d'action de la part de l'utilisateur ou de l'administrateur. Les systèmes où Microsoft Defender a été explicitement désactivé au profit d'une solution de sécurité tierce ne sont théoriquement pas susceptibles à ces vulnérabilités via ce vecteur.

Pour vérifier la version du moteur installée sur un système Windows, il est possible de consulter l'interface Windows Security, section « Protection contre les virus et menaces », puis « Mises à jour de la protection ». En PowerShell, la commande Get-MpComputerStatus | Select-Object AMEngineVersion permet d'obtenir la version du moteur de manière programmatique, utile pour un audit à grande échelle via un script ou une politique de conformité. Les administrateurs gérant un parc via Microsoft Intune ou SCCM peuvent vérifier l'état de déploiement via les rapports de conformité de leur plateforme de gestion unifiée des endpoints.

Un point mérite d'être souligné pour les équipes SecOps : si la mise à jour automatique du moteur Defender est généralement fiable, certains environnements d'entreprise ont des politiques de déploiement de définitions Defender via des points de distribution internes (WSUS, MECM) qui imposent des délais de validation avant déploiement en production. Dans ces configurations, la mise à jour automatique peut ne pas s'être appliquée immédiatement sur tous les endpoints, et une vérification proactive de la version du moteur sur les systèmes critiques est recommandée.

Quand le bouclier devient la cible : la sécurité des antivirus en question

Les vulnérabilités dans les logiciels de sécurité endpoint ne sont pas un phénomène nouveau, mais leur fréquence s'accentue à mesure que les solutions de protection deviennent plus sophistiquées. Microsoft Defender, passé en quelques années d'un simple antivirus à une suite de sécurité complète couvrant EDR, XDR et protection cloud via Microsoft Defender for Endpoint, présente désormais une base de code bien plus large qu'il y a dix ans — et donc une surface d'attaque étendue. Des éditeurs comme CrowdStrike, SentinelOne ou Sophos ont également connu des vulnérabilités dans leurs agents de protection au fil des années, confirmant que ce vecteur d'attaque est exploré activement par la communauté de recherche offensive.

La nature même du fonctionnement des moteurs antivirus les expose à cette classe de vulnérabilités : pour analyser des fichiers potentiellement malveillants, ils doivent les parser, les décompresser et interpréter des formats complexes (PE, Office, PDF, archives). Chaque format de fichier supporté représente une surface d'attaque supplémentaire. Les bugs de type heap overflow dans les parseurs de fichiers sont une famille de vulnérabilités bien connue, et les moteurs antivirus ne font pas exception. Le paradoxe est frappant : le logiciel censé détecter les fichiers malveillants peut lui-même être armé par un fichier malveillant spécialement conçu.

Pour les équipes de sécurité opérationnelle et les RSSI, cet incident rappelle l'importance d'inclure les logiciels de sécurité eux-mêmes dans les processus de gestion des vulnérabilités. Les outils de Vulnerability Management doivent couvrir les composants de sécurité (agents EDR, moteurs antivirus, sondes réseau) au même titre que les applications métier ou le système d'exploitation. La présence rapide de CVE-2026-41091 et CVE-2026-45498 dans le catalogue KEV de la CISA, avec un délai de remédiation court, témoigne de la criticité opérationnelle reconnue de ces failles au niveau gouvernemental américain.

Pour les organisations françaises soumises aux recommandations de l'ANSSI ou aux exigences NIS2, le signal est clair : lorsqu'une solution de sécurité endpoint est elle-même compromise via une faille EoP, l'intégralité de la chaîne de détection peut être aveuglée. Un attaquant ayant obtenu des droits SYSTEM via CVE-2026-41091 peut théoriquement désactiver ou manipuler Defender lui-même, rendant d'autant plus importante la détection précoce via des sources alternatives — journaux réseau, SIEM, corrélations cross-couches. La stratégie de défense en profondeur ne peut pas reposer sur un unique point de contrôle, aussi sophistiqué soit-il.

Ce qu'il faut retenir

  • CVE-2026-41091 (EoP, CVSS 7.8) et CVE-2026-45498 dans Microsoft Defender sont activement exploitées en conditions réelles et figurent dans le catalogue KEV de la CISA — remédiation imposée avant le 3 juin 2026 pour les agences fédérales.
  • CVE-2026-45584 (RCE heap overflow, CVSS 8.1) n'est pas encore exploitée mais représente un risque élevé — le correctif via la version 1.1.26040.8 du moteur est la priorité.
  • La mise à jour du moteur Defender s'applique automatiquement pour la plupart des systèmes — vérifier que les politiques de déploiement d'entreprise (WSUS, MECM) ne bloquent pas cette mise à jour sur les endpoints critiques.

Comment vérifier que mon système est protégé contre ces vulnérabilités Microsoft Defender ?

Ouvrez Windows Security, cliquez sur « Protection contre les virus et menaces », puis « Mises à jour de la protection ». Assurez-vous que la version du moteur (« Version du moteur ») est au minimum 1.1.26040.8. En PowerShell, utilisez : Get-MpComputerStatus | Select-Object AMEngineVersion. Si la version est inférieure, forcez la mise à jour avec : Update-MpSignature. Les administrateurs peuvent vérifier l'état sur l'ensemble du parc via Intune ou SCCM dans les rapports de conformité Defender.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact