Ce que fait vraiment RoguePlanet
RoguePlanet, référencé CVE-2026-50656 avec un score CVSS de 7,8, est une faille d'élévation de privilèges dans le moteur de protection contre les logiciels malveillants de Microsoft, le composant mpengine.dll qui analyse, détecte et nettoie les fichiers pour Windows Defender. Elle exploite une situation de compétition de type time-of-check to time-of-use dans le chemin de traitement des fichiers du moteur et permet à un attaquant local doté de droits de base de passer à SYSTEM, le plus haut niveau de contrôle de la machine.
L'exploit est apparu le 9 juin sous forme de preuve de concept d'un auteur connu pour une série de projets récents d'élévation de privilèges sous Windows, et Microsoft a livré le 8 juillet un correctif hors cycle en version 1.1.26060.3008 du moteur, avec un durcissement de défense en profondeur. Il touche Windows 10 et Windows 11, ce qui couvre la plupart des postes d'entreprise en Europe.
Pourquoi une faille purement locale compte quand même
Une faille d'élévation de privilèges n'est pas de l'exécution de code à distance: un attaquant a d'abord besoin d'un point d'appui sur la machine, elle ne laisse donc entrer personne depuis internet à elle seule. C'est pour cela qu'il est facile de la classer en basse priorité, et c'est pour cela que ce classement est une erreur.
Presque toute intrusion réelle est une chaîne, et l'étape après l'accès initial est la montée vers SYSTEM. Quand cette montée vit dans le moteur antivirus, l'outil censé attraper l'intrus devient le levier qui le promeut. Sous NIS2, un incident qui remonte à une faille non corrigée et bien documentée dans un composant de sécurité central est exactement celui qu'un opérateur européen doit pouvoir expliquer.
Ce qu'il faut vérifier concrètement
Confirmez que le moteur de protection contre les logiciels malveillants de Microsoft est en version 1.1.26060.3008 ou ultérieure, pas seulement que Windows Update a tourné ce mois-ci. Les mises à jour du moteur de Defender arrivent hors cycle et en continu, le nombre qui compte est donc la version du moteur, que vous pouvez lire sur chaque poste et collecter de façon centralisée depuis votre gestion des terminaux.
Portez la plus grande attention aux machines où les mises à jour du moteur prennent du retard: serveurs isolés, systèmes déconnectés, images clonées rarement et flottes gérées qui brident les mises à jour. Sur celles-ci, RoguePlanet peut persister après que le reste du parc s'est discrètement soigné, et c'est précisément là qu'une faille d'élévation fait ses dégâts.
À lire ensuite: L'échéance quantique cachée dans vos certificats | La première plateforme d'agents IA que la CISA impose de corriger



