Microsoft a publié, le 21 mai 2026, des correctifs hors cycle pour deux vulnérabilités zero day touchant Windows Defender. Ces failles, connues sous les noms de RedSun et UnDefend, avaient été révélées publiquement par le chercheur Chaotic Eclipse sans procédure de divulgation coordonnée. Elles ne disposaient pas encore de CVE ni de correctif lors de leur première publication.
La société Huntress, spécialisée dans la sécurité des postes de travail, a confirmé que ces vulnérabilités avaient déjà été exploitées avant la mise à disposition des correctifs.
La faille la plus critique, désormais suivie sous l’identifiant CVE-2026-41091, concerne le moteur de protection contre les logiciels malveillants de Microsoft. Elle est évaluée à 7,8 sur l’échelle CVSS. Le problème vient d’une mauvaise gestion de certains liens avant l’accès aux fichiers, ce qui permet à un attaquant disposant de faibles privilèges d’obtenir des droits élevés au niveau SYSTEM lors d’une analyse Defender.
La seconde vulnérabilité, identifiée comme CVE-2026-45498, touche la plateforme antimalware Microsoft Defender. Son score CVSS est de 4,0. Elle peut perturber le fonctionnement du moteur de protection et empêcher les mises à jour des définitions, réduisant ainsi la capacité de Defender à détecter de nouvelles menaces. Elle concerne aussi System Center Endpoint Protection, System Center 2012 R2 et 2012 Endpoint Protection, ainsi que Security Essentials.
Selon les éléments rapportés, aucune des deux failles ne provoque d’alerte visible pour l’utilisateur ou l’administrateur au moment de l’exploitation.
Les correctifs sont intégrés à la version 1.1.26040.8 du moteur de protection contre les logiciels malveillants et à la version 4.18.26040.7 de la plateforme antimalware. Microsoft les diffuse automatiquement via le mécanisme de mise à jour de Defender. Les administrateurs sont appelés à vérifier que leurs environnements utilisent ces versions ou des versions plus récentes, en particulier lorsque les mises à jour automatiques peuvent être retardées.
La CISA a inscrit ces deux failles dans son catalogue des vulnérabilités exploitées connues le 20 mai 2026. Les agences fédérales civiles américaines disposent d’un délai jusqu’au 3 juin pour confirmer l’application des correctifs.
La même mise à jour corrige également CVE-2026-45584, une autre vulnérabilité affectant le moteur de protection. Celle-ci présente un score CVSS de 8,1 et peut permettre une exécution de code à distance sans intervention de l’utilisateur. Elle n’aurait toutefois pas été exploitée dans des attaques réelles à ce stade.
RedSun et UnDefend s’ajoutent à une série de failles publiées ces dernières semaines par Chaotic Eclipse contre des composants de sécurité Windows. L’une d’elles, MiniPlasma, visant le pilote Cloud Filter, resterait encore sans correctif.
