📰 Source : SecurityWeek — Date : 17 juin 2026
Microsoft a publié un avis de sécurité reconnaissant l’existence de CVE-2026-50656 (score CVSS 7.8), une vulnérabilité d’élévation de privilèges dans le Microsoft Malware Protection Engine de Microsoft Defender, publiquement désignée sous le nom RoguePlanet.
🔍 Détails techniques
La vulnérabilité exploite une race condition dans Microsoft Defender et permet à un attaquant d’obtenir des privilèges SYSTEM. Un proof-of-concept (PoC) a été publié par le chercheur Nightmare Eclipse (alias Chaotic Eclipse), démontrant une élévation de privilèges locale (LPE) sur Windows 10 et Windows 11 avec les correctifs de juin 2026 installés.
- Initialement, la vulnérabilité permettait également une exécution de code à distance (RCE), mais des chemins d’exploitation ont été fermés par les mises à jour de mai 2026.
- Le PoC a été remanié pour contourner ces mitigations, bien qu’il puisse être instable.
- Le PoC fonctionne que la protection en temps réel de Defender soit activée ou désactivée, y compris potentiellement en mode passif.
- Le chercheur estime que l’exploit pourrait être affiné pour fonctionner également sur les systèmes Windows Server.
👤 Contexte : Nightmare Eclipse
Ces derniers mois, motivé par son mécontentement envers le processus de divulgation de vulnérabilités de Microsoft, Nightmare Eclipse a publié plusieurs zero-days ciblant des produits Microsoft :
| Nom | CVE | Statut |
|---|---|---|
| BlueHammer | CVE-2026-33825 | Exploité in the wild, patché |
| RedSun | CVE-2026-41091 | Exploité in the wild, patché |
| UnDefend | CVE-2026-45498 | Exploité in the wild, patché |
| GreenPlasma | N/A mentionné | Patché (Patch Tuesday juin 2026) |
| YellowKey | N/A mentionné | Patché (Patch Tuesday juin 2026) |
| RoguePlanet | CVE-2026-50656 | Patch en cours |
Microsoft n’a pas encore publié de correctif pour RoguePlanet et indique travailler sur une mise à jour de sécurité.
📌 Type d’article : Alerte de sécurité / vulnérabilité zero-day. But principal : informer la communauté CTI de l’existence d’un PoC public pour une vulnérabilité non corrigée dans Microsoft Defender.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Nightmare Eclipse (unknown) —
TTP
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
IOC
- CVEs :
CVE-2026-50656— NVD · CIRCL - CVEs :
CVE-2026-33825— NVD · CIRCL - CVEs :
CVE-2026-41091— NVD · CIRCL - CVEs :
CVE-2026-45498— NVD · CIRCL
Malware / Outils
- RoguePlanet (tool)
- BlueHammer (tool)
- RedSun (tool)
- UnDefend (tool)
- GreenPlasma (tool)
- YellowKey (tool)
🟢 Indice de vérification factuelle : 66/100 (haute)
- ✅ securityweek.com — source reconnue (liste interne) (20pts)
- ✅ 2812 chars — texte partiel (fulltext extrait) (13pts)
- ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 1 TTP(s) MITRE (8pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Nightmare Eclipse (5pts)
- ⬜ 0/4 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.securityweek.com/microsoft-working-on-patch-for-rogueplanet-zero-day/