La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Le 10 juin 2026, des chercheurs en sécurité ont divulgué RoguePlanet, référencée sous CVE-2026-47281 — une faille zero-day d'élévation de privilèges affectant Microsoft Defender qui, selon ces chercheurs, permet à un attaquant local non privilégié d'obtenir les droits SYSTEM, le niveau de privilège le plus élevé sous Windows. La divulgation est intervenue en même temps que le Patch Tuesday de juin 2026 de Microsoft, qui corrigeait environ 200 vulnérabilités, et la faille affiche un score CVSS de 9,6.

Ce qui s'est passé

Les chercheurs décrivent RoguePlanet comme une situation de compétition de type « time-of-check to time-of-use » (TOCTOU) dans la logique de traitement des fichiers de Defender. Comme Defender s'exécute en tant que SYSTEM, un attaquant qui remporte la course peut détourner une opération de fichier réalisée par l'antivirus vers du code qu'il contrôle, finissant par lancer un interpréteur de commandes doté des pleins droits SYSTEM. Selon les rapports, la technique a été démontrée comme fonctionnelle sur des systèmes Windows 10 et 11 ayant déjà installé les mises à jour de juin 2026, ce qui souligne qu'elle n'a pas été corrigée par le lot de correctifs du mois.

Microsoft référence le problème dans son Security Update Guide sous CVE-2026-47281, et une exploitation active a été signalée. Comme souvent avec les failles d'élévation de privilèges nouvellement apparues, les détails précis de l'attaque, l'ensemble complet des configurations concernées et l'état du correctif étaient encore en cours de clarification au moment de la divulgation.

Pourquoi c'est important

L'élévation de privilèges est rarement la première étape d'une intrusion, mais elle en est presque toujours une étape décisive : les attaquants disposant déjà d'un point d'ancrage — par hameçonnage, par un identifiant volé ou par un autre exploit — utilisent ce type de faille pour passer d'un compte utilisateur limité à SYSTEM, d'où ils peuvent désactiver les défenses, récolter des identifiants et se déplacer latéralement. Une faille dans Defender lui-même est particulièrement sensible, car le contrôle de sécurité censé détecter et contenir les attaquants devient le vecteur même de la prise de contrôle complète de la machine.

Chronologie

10 juin 2026

Microsoft publie son Patch Tuesday de juin 2026, corrigeant environ 200 vulnérabilités.

10 juin 2026

Des chercheurs divulguent la technique d'élévation de privilèges RoguePlanet (CVE-2026-47281) visant Microsoft Defender, indiquant qu'elle permet d'obtenir les privilèges SYSTEM sur des systèmes Windows à jour ; Microsoft référence la CVE et une exploitation active est signalée.

Sources

thehackernews.comhttps://thehackernews.com/2026/06/microsoft-defender-rogueplanet-zero-day.html

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/microsoft/microsoft-defender-rogueplanet-zero-day-grants-system-privileges/amp/

msrc.microsoft.comhttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47281

threat-modeling.comhttps://threat-modeling.com/windows-defender-rogueplanet-zero-day-cve-2026-47281/

Incidents liés

Faille zero-dayContenu9 juin 2026

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victim: Google Chrome

Faille zero-dayEn cours2 juin 2026

Google corrige une faille zero-day Android activement exploitée (CVE-2025-48595)

La mise à jour de sécurité Android de juin 2026 de Google a corrigé 124 vulnérabilités, dont CVE-2025-48595, une faille de dépassement d'entier activement exploitée dans l'Android Framework qui permet à un attaquant local d'élever ses privilèges sans interaction de l'utilisateur.

Victim: Google Android

Faille zero-dayEn cours10 juin 2026

Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.

Victim: Oracle PeopleSoft

Faille zero-dayEn cours5 juin 2026

Faille zero-day de Cisco SD-WAN Manager exploitée (CVE-2026-20245)

Cisco a alerté sur une faille zero-day non corrigée et de haute gravité dans Catalyst SD-WAN Manager (CVE-2026-20245), activement exploitée pour exécuter des commandes arbitraires et obtenir les privilèges root, après que Mandiant a signalé un nombre limité d'attaques réelles.

Victim: Cisco Catalyst SD-WAN Manager