Le correctif de la faille zero-day de Windows Defender pourrait permettre aux attaquants de remplir votre disque dur

Le correctif de Microsoft pour une vulnérabilité zero-day de Windows Defender pourrait avoir introduit un nouveau problème : sur certains systèmes, la mise à jour peut écrire des fichiers suffisamment volumineux pour consommer entièrement l’espace disque disponible.

Publié le mercredi 8 juillet, ce correctif traite la vulnérabilité RoguePlanet, une exploitation d’élévation de privilèges locale qui accorde aux attaquants un accès de niveau SYSTEM sur des machines Windows 10 et Windows 11 entièrement patchées. RoguePlanet a été divulguée publiquement par un chercheur opérant sous le pseudonyme Nightmare Eclipse (également connu sous le nom de Chaotic Eclipse) et cible une condition de concurrence TOCTOU (Time-of-Check to Time-of-Use) dans le moteur d’analyse en temps réel de Defender.

Lorsqu’elle est exploitée avec succès, RoguePlanet génère une invite de commande Windows s’exécutant sous NT AUTHORITYSYSTEM, le niveau de privilège le plus élevé sur une machine Windows, permettant à un attaquant d’exécuter du code, d’installer des logiciels, et d’accéder ou de supprimer toute donnée sur le système.

L’effet secondaire

Selon Ars Technica, le correctif publié par Microsoft pour résoudre RoguePlanet pourrait amener Defender à générer des fichiers volumineux qui croissent jusqu’à remplir l’espace disque disponible sur les machines affectées. Les conditions exactes déclenchant ce comportement ne sont pas encore entièrement comprises, mais le problème a été signalé sur plusieurs configurations Windows.

Cette complication constitue le dernier chapitre d’une confrontation croissante entre Microsoft et le chercheur à l’origine des divulgations. Nightmare Eclipse a désormais publié au moins sept exploits liés à Defender depuis avril 2026, notamment BlueHammer (CVE-2026-33825, corrigé en avril), RedSun, UnDefend (un outil pouvant désactiver Defender complètement), YellowKey, GreenPlasma, et MiniPlasma.

Microsoft avait précédemment averti qu’il collaborerait avec les forces de l’ordre contre les acteurs causant des préjudices, ce que le chercheur a cité comme raison pour avoir déplacé les exploits des plateformes grand public vers un dépôt Git auto-hébergé. Trois des exploits antérieurs ont été confirmés comme exploités dans la nature avant que Microsoft ne puisse publier des correctifs.

Les chercheurs de Huntress ont documenté des intrusions réelles utilisant des outils antérieurs de cette campagne du chercheur, avec BlueHammer, RedSun, et UnDefend observés dans des chaînes d’attaque actives.

Pour les utilisateurs, la recommandation reste la même : installer la mise à jour pour corriger la vulnérabilité RoguePlanet, mais surveiller de près l’espace disque dans les jours suivant l’installation. Microsoft n’a pas encore commenté l’éventuel développement d’un correctif pour l’effet secondaire du correctif.

Sources : Patch for Windows Defender 0-day could allow attackers to fill hard disk (Ars Technica, 9 juillet 2026) ; RoguePlanet: Microsoft Defender zero-day (CybelAngel) ; Windows Defender 0-Day Exploit RoguePlanet (Cyber Security News)

Traduit par Lydie

Scroll to Top