Microsoft a publié des correctifs importants pour deux failles zero-day dans Microsoft Defender, identifiées sous les noms de code UnDefend et RedSun Defender. Ces vulnérabilités, découvertes récemment, ont été activement exploitées dans la nature, posant un risque sérieux pour les environnements Windows 10 et Windows 11.
Les failles permettent notamment une élévation de privilèges à un niveau Système, compromettant la sécurité des entreprises et des particuliers. L’éditeur souligne l’urgence de déployer les mises à jour afin d’éviter des attaques ciblées aux conséquences potentiellement sévères.
Microsoft corrige des zero-day critiques dans Defender
La première faille, référencée CVE-2026-41091, se manifeste par un problème de résolution de liens avant l’accès à un fichier, connu sous le terme technique de « link-following ». Ce dysfonctionnement permet à un acteur malveillant disposant d’un accès local d’augmenter ses privilèges, lui fournissant ainsi un contrôle quasi-total sur le système touché. Avec un score de gravité CVSS de 7.8, elle requiert une action immédiate pour limiter les risques d’intrusions.
La seconde vulnérabilité, CVE-2026-45498, correspond à une faille de déni de service (DoS), moins critique mais toujours préoccupante car elle peut provoquer l’interruption des fonctions clés de Microsoft Defender. Microsoft a intégré les correctifs dans la version 4.18.26040.7 de la plateforme antimalware.
Retombées et impact sur la sécurité informatique
L’impact pour les PME et ETI françaises est direct. Une exploitation réussie de ces failles ouvre la voie à une prise de contrôle complète. Dans ce contexte, le fossé entre un système à jour et un environnement négligé s’exacerbe au détriment des infrastructures vulnérables. Microsoft précise que si Defender est désactivé, les attaques s’avèrent inefficaces, même si les fichiers du logiciel demeurent sur le disque.
La publication des correctifs coïncide avec l’inscription par la CISA, l’agence américaine de cybersécurité, de ces deux vulnérabilités sur sa liste des Known Exploited Vulnerabilities (KEV), imposant un patch obligatoire aux agences fédérales américaines d’ici juin. Cette contrainte réglementaire accentue la pression sur les structures européennes pour renforcer leur posture de cybersécurité sans délai.
Pourquoi ces failles zero-day bouleversent la défense des systèmes
Ces vulnérabilités ne sont pas des cas isolés. Elles s’inscrivent dans une tendance préoccupante où les failles zero-day ciblent en priorité les outils de protection native comme Microsoft Defender. Le projet « BlueHammer », auquel appartiennent UnDefend et RedSun, a démontré qu’exploiter les defenses elles-mêmes devient une méthode privilégiée pour contourner les barrières de sécurité traditionnelles.
Cela remet en question la fiabilité absolue ressentie vis-à-vis des antivirus intégrés, incitant les décideurs à combiner correctifs, surveillance active et solutions complémentaires. Cette complexité technique impose une gestion agile des risques, avec des campagnes de patch fréquentes et un audit renforcé des systèmes conformément aux préconisations d’entités comme l’ANSSI.
Les mesures prioritaires à mettre en œuvre face à RedSun et UnDefend
Le premier réflexe reste la mise à jour immédiate des machines avec Microsoft Defender via le Patch Tuesday d’avril 2026. Pour les environnements où la désactivation de Defender n’est pas envisageable, il est conseillé d’activer des contrôles additionnels pour détecter toute tentative d’élévation anormale des privilèges.
Par ailleurs, la sensibilisation des équipes techniques à ces menaces ciblées s’avère cruciale. Les entreprises gagneront à consulter régulièrement des sources spécialisées comme des experts en exploits zero-day et à suivre les bulletins comme le Threatsday pour anticiper les prochaines compromissions.
