Microsoft a confirmé que deux vulnérabilités de sécurité affectant Microsoft Defender, l’antivirus intégré par défaut à Windows, sont actuellement exploitées dans le cadre de cyberattaques réelles. Les deux failles ont été découvertes avant le déploiement des correctifs, ce qui signifie que des attaquants ont pu compromettre des systèmes Windows avant que les utilisateurs ne soient protégés.
Le problème touche directement le moteur de protection antimalware de Microsoft, utilisé sur des centaines de millions de machines Windows dans le monde.
Une faille permettant d’obtenir les droits administrateur
La première vulnérabilité concerne le Malware Protection Engine, le composant chargé d’analyser les fichiers suspects et de détecter les menaces sur Windows.
Selon Microsoft, la faille provient d’un problème dans la gestion des liens système. Un attaquant disposant d’un accès limité à un ordinateur peut manipuler Defender afin qu’il accède à des fichiers sensibles avant de vérifier leur légitimité.
En pratique, cette vulnérabilité peut permettre à un pirate de :
- obtenir les privilèges SYSTEM, le niveau d’accès le plus élevé sur Windows ;
- installer des logiciels malveillants ;
- modifier des fichiers système ;
- désactiver des protections de sécurité ;
- créer de nouveaux comptes administrateurs.
Ce type de faille est particulièrement dangereux car il permet à un attaquant déjà présent sur une machine de prendre le contrôle total du système.
Une seconde faille peut faire planter complètement Windows
La deuxième vulnérabilité touche cette fois la plateforme antimalware de Microsoft Defender ainsi que plusieurs anciens produits de sécurité de Microsoft, dont Security Essentials et System Center Endpoint Protection.
Cette faille permet à un pirate de provoquer un déni de service (DoS), c’est-à-dire un plantage complet du système ou du service de sécurité.
Si ce type d’attaque paraît moins grave au premier abord, il peut servir à neutraliser temporairement les protections de la machine pendant qu’une autre attaque est menée en parallèle, notamment pour déployer un ransomware ou voler des données.
La CISA tire la sonnette d’alarme
Face à la gravité de la situation, la CISA, l’agence américaine de cybersécurité, a ajouté les deux failles à son catalogue officiel des vulnérabilités activement exploitées.
L’agence estime que ces vulnérabilités représentent un « risque important » pour les administrations et les entreprises. Toutes les agences fédérales américaines ont reçu l’ordre d’appliquer les correctifs avant le 3 juin 2026.
Des mises à jour déjà disponibles
Microsoft a commencé à déployer des correctifs automatiques via Windows Update et le système de mise à jour de Defender.
Les versions corrigées sont :
- moteur de protection : 1.1.26040.8 ;
- plateforme antimalware : 4.18.26040.7.
Microsoft recommande aux utilisateurs et aux entreprises de vérifier manuellement que les mises à jour ont bien été installées, notamment dans les environnements professionnels où les mises à jour automatiques sont parfois désactivées.
Pour vérifier la version installée, il faut ouvrir Sécurité Windows, puis se rendre dans Protection contre les virus et menaces et enfin dans Mises à jour de la protection.