Deux vulnérabilités découvertes dans Microsoft Defender sont déjà exploitées par des personnes malveillantes. Celles-ci viennent d'être ajoutées au catalogue officiel des failles connues du CISA, elles concernent des millions d'utilisateurs Windows qui s'appuient sur l'antivirus intégré comme protection principale.
Le CISA, l'agence américaine de cybersécurité, a mis à jour son catalogue KEV, lequel répertorie les failles dont l'exploitation dans des attaques réelles a été confirmée. Sept nouvelles entrées y ont été ajoutées. Parmi elles, cinq datent des années 2008 à 2010 et concernent, entre autres, Internet Explorer et Adobe Acrobat Reader. Mais deux récentes visent directement Microsoft Defender.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Prendre le contrôle ou désactiver Microsoft Defender
La première est référencée CVE-2026-41091 et notée 7,8 sur 10 selon l'échelle CVSS. Il s'agit d'une faille dite "d'élévation de privilèges". En pratique, un attaquant qui dispose déjà d'un accès limité à une machine peut l'exploiter pour obtenir les droits "SYSTEM". Il disposerait alors du niveau de contrôle le plus étendu sur Windows pour effectuer des manipulations sans restriction sur l'ensemble du système. Un attaquant pourrait donc modifier des données, désactiver des protections, ou dérober des fichiers.
La seconde, CVE-2026-45498, est notée 4,0 sur 10. C'est un déni de service ciblant Defender lui-même. L'objectif n'est pas de prendre le contrôle de la machine, mais de neutraliser l'antivirus à la demande. Cela permet de créer une fenêtre pendant laquelle des logiciels malveillants peuvent s'exécuter sans être détectés. Ce type de faille dans Defender n'est pas nouveau. Lors du Patch Tuesday d'avril, nous rapportions la correction d'une vulnérabilité similaire d'élévation de privilèges (CVE-2026-33825, CVSS 7.8) sans toutefois d'exploitation confirmée.
Les deux failles ajoutées au KEV concernent en priorité les environnements au sein desquels Defender est le seul outil de protection utilisé.
Un correctif est disponible depuis la version 4.18.26040.7 de la plateforme Microsoft Defender Antimalware. Pour vérifier si la mise à jour est bien installée, rendez-vous dans "Sécurité Windows", naviguer vers "Protection contre les virus et menaces", puis consulter la section "À propos" pour y lire le numéro de version. Même avec les mises à jour automatiques activées, les correctifs spécifiques à la plateforme Defender peuvent toutefois prendre du retard par rapport aux mises à jour cumulatives mensuelles de Windows. En théorie, le système peut donc rester exposé plusieurs jours.
