Le chercheur Nightmare Eclipse avait promis une surprise pour le Patch Tuesday de juin 2026, la voici : RoguePlanet, une nouvelle faille zero-day ciblant Windows Defender et permettant d’obtenir les privilèges SYSTEM sur Windows. Il a révélé cette faille quelques heures après la publication du Patch Tuesday de juin 2026 par Microsoft.

Qu’est-ce que la faille de sécurité RoguePlanet ?

Le chercheur en sécurité Nightmare Eclipse continue de poser des problèmes à Microsoft (et aux utilisateurs de Windows) suite à la publication d’un nouvel exploit PoC pour une faille surnommée RoguePlanet. Cette vulnérabilité liée à une race condition se situe au sein de Microsoft Defender. Lorsqu’elle est exploitée avec succès, elle permet d’ouvrir une invite de commandes Windows avec les privilèges SYSTEM, le niveau d’accès le plus élevé de l’OS de Microsoft.

“Cette faille est une race condition, c’est donc quitte ou double. J’ai réussi à obtenir un taux de réussite de 100 % sur certaines machines, tandis que sur d’autres, cela a été plus difficile.”, précise-t-il sur son nouveau GitHub nommé MSNightmare (son compte initial a été supprimé par Microsoft). Sur ce même espace GitHub, il a publié un exécutable permettant d’exploiter cette vulnérabilité, tout en partageant aussi les informations sur un Git auto-hébergé car il s’attend à ce que Microsoft supprime son nouveau compte.

À l’origine, l’exploit RoguePlanet n’a pas été conçu uniquement pour mener à une élévation de privilèges en local (LPE). Nightmare Eclipse avait développé cette faille pour aboutir à une exécution de code à distance (RCE) en exploitant la manière dont Microsoft Defender gère les fichiers hébergés sur des partages réseau SMB distants.

Il en parle d’ailleurs dans son article de blog : “Au cours du développement initial, il a été confirmé que cette vulnérabilité était une exécution de code à distance. Elle nécessitait qu’un attaquant pousse une victime à ouvrir un .vhd(x) sur un serveur SMB distant, une exploitation réussie conduisant Defender à écraser ses propres fichiers et, évidemment, le résultat final était une RCE.”

Il avait également imaginé un second scénario pour cette exécution de code à distance, simplement en incitant la victime à ouvrir un partage SMB. Mais cela aurait pu fonctionner uniquement si Defender était en mesure d’évaluer les liens symboliques. Cependant, Microsoft a renforcé la sécurité de Defender à la mi-mai en corrigeant l’API , ce qui a bloqué cette méthode.

“Réécrire RoguePlanet pour le rendre à nouveau fonctionnel m’a vidé de mon âme et je n’ai pas pu terminer les autres scénarios. Pour l’instant, il reste incertain si RoguePlanet se limite à une LPE ou s’il existe une sorte de moyen de le transformer en RCE”, peut-on lire.

Les systèmes vulnérables à la faille RoguePlanet

Cette faille de sécurité est exploitable sur une machine Windows 11 totalement à jour, y compris si la mise à jour de juin 2026 (KB5094126) a été installée. Nighmare Eclipse affirme que l’exploit fonctionne aussi sur les versions Canary de Windows 11 et sur Windows 10.

Il affirme également que cet exploit fonctionnerait sur Windows Server, en effectuant quelques adaptations de son code PoC, mais il a la flemme de revenir dessus. “Toutes les installations Windows Server sont également vulnérables, il suffit simplement de repenser l’exploit.”, précise-t-il.

Tout cela n’est probablement pas terminé. Il y a quelques heures, il a publié un nouvel exploit nommé GreatXML. Comme la vulnérabilité YellowKey, cette nouvelle faille de sécurité permettrait de contourner BitLocker sur Windows. Je vais regarder ce qu’il en est et probablement en faire un autre article.

Le conflit se poursuit entre Microsoft et Nightmare Eclipse.