Defender et Apex One sous le feu : quand l'antivirus devient l'arme de l'attaquant

En 72 heures, la CISA a inscrit trois zero-days majeurs dans son catalogue KEV, tous dans des outils de sécurité endpoint.

Le 20 mai, Microsoft a confirmé l'exploitation active de deux failles dans Defender : RedSun (CVE-2026-41091, élévation de privilèges via la gestion des liens symboliques) et UnDefend (CVE-2026-45498, désactivation silencieuse du moteur antimalware). Le 21 mai, Trend Micro a publié un patch pour Apex One (CVE-2026-34926), une traversée de répertoire qui permet à un attaquant de pousser du code malveillant à tous les agents endpoint gérés. Deadlines fédérales américaines : 3 et 4 juin.

Le retournement : votre outil de défense devient le levier de l'attaquant

Pendant longtemps, l'EDR/AV était le garde-fou. Aujourd'hui, c'est une cible privilégiée. Trois raisons :

• L'agent EDR/AV tourne avec les plus hauts privilèges sur la machine. Compromettre l'agent, c'est compromettre l'hôte.

• Le serveur de management EDR pousse des configurations et des binaires à des centaines voire des milliers d'endpoints. Compromettre le serveur, c'est compromettre la flotte en une commande.

• Désactiver silencieusement la détection (CVE-2026-45498) crée un angle mort opérationnel : vos dashboards continuent d'afficher « healthy », vos analystes pensent être couverts, et la prochaine charge utile passe sans alerte.

C'est exactement le scénario qu'exploitent les groupes ransomware modernes : Bring-Your-Own-Vulnerable-Driver (BYOVD), abus des outils légitimes (RMM, EDR), désactivation des moteurs avant chiffrement.

Les 3 questions que votre RSSI doit pouvoir répondre cette semaine

1. Niveau de patch. Defender engine ≥ 1.1.26040.8 et Antimalware Platform ≥ 4.18.26040.7 sur 100% de notre parc ? Y compris serveurs, VDI, images dorées ? Apex One serveur ≥ build 17079 ?

2. Visibilité opérationnelle. Recevons-nous des alertes quand Defender s'arrête, perd ses définitions, passe en mode passif, ou quand un serveur Apex One reçoit une connexion administrateur en dehors des plages prévues ?

3. Plan B si l'EDR ment. Avons-nous une source de télémétrie indépendante (EDR secondaire, SIEM avec logs Windows natifs, NDR) capable de détecter une compromission si l'EDR primaire est neutralisé ?

Si l'une de ces réponses est « je ne sais pas », l'urgence est plus haute que le patch.

Une boucle de remédiation EDR en 6 étapes, applicable cette semaine

1. Inventaire. Liste exhaustive des hôtes Windows avec Defender + des serveurs Apex One. N'oublie pas les serveurs offline (rotation lente), les VDI, les images dorées, les machines air-gap.

2. Patch + vérification. Déploie les builds correctifs. Mais surtout, vérifie post-déploiement : un patch annoncé n'est pas un patch appliqué.

3. Health monitoring. Centralise les événements de santé Defender (service stoppé, définitions périmées, downgrade d'engine) dans ton SIEM. Idem pour Apex One : alertes sur modifications de politiques massives.

4. Hardening du serveur de management. Apex One Server isolé du LAN utilisateur, accès admin via bastion + MFA résistante au phishing, journalisation centralisée des actions admin.

5. Hunt rétroactif. Cherche sur les 90 derniers jours : crashs Defender inexpliqués, downgrades d'engine, créations de symlinks dans les répertoires scannés, déploiements Apex One inhabituels.

6. Compensating control. Si tu découvres un endpoint où Defender a été neutralisé : isolation immédiate, réimage, investigation forensique. Ne suppose pas l'innocence.

L'angle CTI : voir l'exploitation venir

Les zero-days dans l'EDR ne restent pas dans des poches isolées. Les groupes ransomware (BlackCat, Nitrogen, DragonForce) intègrent ces capacités à leur kit standard dans les semaines qui suivent la publication. La CTI continue te dit :

• Quels groupes intègrent activement ces CVE dans leur tooling.

• Quels secteurs sont ciblés en priorité (santé, manufacturing, finance ont historiquement été en tête).

• Quels IOCs et TTPs surveiller en SOC.

Tu gagnes la fenêtre entre « la PoC publique sort » et « le ransomware affilié l'utilise dans ton secteur ». Cette fenêtre peut être de quelques jours.

Là où FortaRisks intervient

Trois capacités de nos modules Vulnerability Management et CTI s'appliquent directement à cette semaine :

• Inventaire EDR/AV vérifié. Cartographie continue de ton parc, état réel des moteurs et plateformes, pas la déclaration du tableau de bord vendor.

• Veille CVE + KEV temps réel. Quand une CVE est ajoutée à la KEV CISA ou qu'un groupe actif l'intègre, tu es notifié avec le niveau d'urgence opérationnelle, pas un score CVSS générique.

• Suivi acteurs ransomware. Surveillance continue des kits, des forums, des leak sites pour anticiper la prochaine campagne sur ton secteur.

Quand vos outils de défense deviennent des vecteurs, c'est la cartographie + la veille qui font la différence entre « vous patchez en 48h » et « vous découvrez la compromission dans 10 mois ».