NIS2 50+ salariés ou €10M+ CA : reporting d’incident en 72h obligatoire. Reporting d’incident en 72h obligatoire. Êtes-vous prêt ? →
Skip to main contentSkip to footer
ucyber-ai-logo
Essai 60jConsole

Defender RoguePlanet : neutraliser le zero-day SYSTEM en PME-ETI

Par ucyber · Publié le · Tuto

Le zero-day Defender RoguePlanet transforme votre antivirus en porte d’entrée SYSTEM : une faille critique dans Microsoft Defender permet à un utilisateur local d’élever ses privilèges jusqu’au compte SYSTEM avant tout patch. Pour les PME-ETI qui s’appuient sur Defender comme socle EDR, neutraliser Defender RoguePlanet est désormais une priorité immédiate : tutoriel pas à pas pour bloquer l’escalade, valider la couverture et préparer la chasse aux indicateurs.

Comprendre Defender RoguePlanet : la faille qui retourne l’EDR

Microsoft a publié hier le correctif du zero-day baptisé RoguePlanet dans Defender Antivirus, dans le cadre d’un Patch Tuesday historique de 200 vulnérabilités. La faille permet à un attaquant local — utilisateur standard ou processus compromis par phishing — d’obtenir les privilèges SYSTEM en abusant d’un composant de scan privilégié de Defender. Concrètement, l’attaquant manipule un descripteur de fichier que Defender ouvre avec un jeton élevé, ce qui suffit à pivoter vers SYSTEM sans interaction utilisateur supplémentaire.

Pour une PME-ETI, l’impact est direct : un poste compromis par un macro Office, un infostealer ou une session RDP volée passe en SYSTEM en quelques secondes. À partir de là, l’attaquant désactive Defender, déploie un implant persistant et pivote sur l’Active Directory. L’EDR censé protéger devient le levier d’escalade — exactement le scénario que les opérateurs de ransomware affectionnent.

Étape 1 — Identifier les postes exposés au zero-day Defender RoguePlanet

Avant de patcher, cartographiez votre parc Defender. La plateforme de gestion Intune ou Configuration Manager remonte la version du moteur. En l’absence d’outil centralisé, lancez ce script PowerShell sur un échantillon via WinRM :

  • Versions vulnérables : moteur Defender (MpEngineVersion) antérieur à 1.1.25060.1 ou plateforme (AMServiceVersion) antérieure à 4.18.25060.1.
  • Commande de contrôle : Get-MpComputerStatus | Select MpEngineVersion, AMServiceVersion, AntivirusSignatureLastUpdated.
  • Périmètre prioritaire : postes administrateurs, serveurs RDS, serveurs de fichiers, contrôleurs de domaine.

Les machines hors Patch Tuesday régulier (Windows 10 ESU, serveurs isolés, postes nomades non connectés en VPN) sont les plus exposées. Marquez-les comme cibles de patching prioritaire dans la même journée.

Étape 2 — Déployer le correctif Microsoft sans casser la production

Le correctif Defender RoguePlanet est distribué via Windows Update, WSUS et Microsoft Update Catalog. Trois canaux pour trois réalités PME-ETI :

  • Postes utilisateurs : forcez Windows Update via UsoClient StartScan puis UsoClient StartInstall. Vérifiez le redémarrage : certaines mises à jour de plateforme nécessitent un reboot pour activer la nouvelle version du moteur.
  • Serveurs critiques : passez par le canal Platform Update séparément du moteur antivirus. Microsoft a publié une mise à jour hors bande spécifique pour Windows Server 2019, 2022 et 2025 — référez-vous à KB5094127 pour Windows 10 ESU et aux cumulatifs KB5094126 / KB5093998 pour Windows 11.
  • Workstations administrateurs : testez sur un poste pilote pendant 30 minutes (lancement Office, antivirus actif, login Tier 0), puis basculez le reste du périmètre dans la foulée.

Si Windows Update échoue (postes coupés du réseau Microsoft), téléchargez le pack autonome Antimalware Platform Update depuis Microsoft Update Catalog et déployez-le en GPO avec un script de bascule contrôlée.

Étape 3 — Atténuer Defender RoguePlanet en attendant le patch

Pour les postes qui ne peuvent pas être patchés sous 24h, appliquez trois mesures de contention :

  • Bloquer les binaires LOLBins exploitables : ajoutez une règle Attack Surface Reduction (ASR) sur BlockExecutionOfPotentiallyObfuscatedScripts et BlockOfficeAppsCreatingChildProcesses en mode bloquant. La chaîne d’exploitation typique passe par un script obfusqué côté utilisateur.
  • Durcir les comptes locaux : retirez le droit SeImpersonatePrivilege aux comptes non-services via stratégie de groupe. Cela neutralise la classe d’escalade que RoguePlanet exploite.
  • Surveiller les processus enfants de Defender : créez une alerte SIEM sur les processus dont le parent est MsMpEng.exe ou MpDefenderCoreService.exe avec un enfant inattendu (cmd.exe, powershell.exe, rundll32.exe).

Ces mesures ne remplacent pas le patch mais réduisent la fenêtre d’exposition à quelques heures supplémentaires si la production interdit le reboot immédiat.

Étape 4 — Chasse aux indicateurs de compromission

Une fois patché, vérifiez si Defender RoguePlanet a déjà été exploité chez vous. Microsoft ne confirme pas d’exploitation in-the-wild à la publication, mais le délai entre disclosure et exploitation tombe désormais sous les 48 heures pour ce type de faille EDR. Recherchez :

  • Élévations SYSTEM anormales : événements 4624 (Logon Type 5) suivis d’une création de service ou d’une modification de clé de registre HKLM\Software\Microsoft\Windows Defender dans la même session.
  • Désactivation de Defender : événements 5001 (Defender désactivé) hors fenêtre de maintenance déclarée.
  • Création de tâches planifiées : événements 4698 avec un acteur SYSTEM créé depuis un compte utilisateur dans la même chaîne.

Si vous trouvez un de ces indicateurs sur un poste non patché, considérez la machine comme compromise et passez en mode investigation forensique avant de remettre en production.

Étape 5 — Industrialiser la réponse aux zero-days Defender

RoguePlanet n’est pas le dernier zero-day Defender que vous verrez en 2026. Microsoft a corrigé 3 zero-days et 200 vulnérabilités au total ce mois-ci, et la cadence accélère. Pour qu’une PME-ETI tienne le rythme, formalisez un playbook :

  • Patch automatique des moteurs antivirus : activez la mise à jour automatique du moteur Defender en GPO, même sur les serveurs où le système d’exploitation reste sur cycle WSUS contrôlé.
  • Inventaire à 24h : maintenez un script qui collecte MpEngineVersion sur tout le parc et alerte si la dernière mise à jour publique date de plus de 48 heures.
  • Bypass de réseau de secours : prévoyez une URL Microsoft Update directement accessible depuis les postes nomades, sans passer par le VPN, pour les correctifs Defender critiques.
  • Audit Tier 0 : validez que vos administrateurs n’utilisent leur poste Tier 0 que pour l’administration — un poste admin compromis avec un Defender vulnérable signe la fin d’un domaine en moins d’une heure.

Un EDR n’est pas un point d’arrivée mais une surface d’attaque privilégiée. La même logique s’applique à CrowdStrike Falcon, SentinelOne, Sophos : si l’EDR n’est pas patché, il devient un implant légal.

Pourquoi Defender RoguePlanet doit déclencher votre revue EDR

L’épisode Defender RoguePlanet illustre une bascule structurelle : les outils défensifs sont désormais ciblés au même titre que les actifs métier. Pour une PME-ETI, cela impose trois réflexes durables : tester la couverture EDR mensuellement, mesurer le délai patch zero-day en heures et pas en jours, et planifier la réponse à un Defender compromis comme on planifie une panne réseau. Le zero-day Defender n’est plus exceptionnel — c’est une catégorie d’incidents récurrents qui mérite une procédure dédiée. Notre équipe ucyber.ai accompagne les PME-ETI sur la chasse aux indicateurs, le durcissement Tier 0 et la mise en place d’une boucle de patch antivirus sous 24 heures.

Sources

Renforcez dès maintenant la cybersécurité de votre PME ou ETI avec ucyber.ai.
Évaluez votre niveau de sécurité ou
contactez-nous pour en savoir plus.
Suivez-nous sur LinkedIn.

Ce site utilise des cookies afin d’améliorer votre expérience. En poursuivant votre navigation sur ce site, vous acceptez leur utilisation. Politique de confidentialité
Réserver 15 min — diagnostic