Nouveau PoC zéro jour de Microsoft Defender « RedSun » accorde des privilèges SYSTEM

Nouveau PoC zéro jour de Microsoft Defender "RedSun" accorde des privilèges SYSTEM

Publication d’une nouvelle faille zero-day pour Microsoft Defender

Un chercheur, identifié sous le pseudonyme Chaotic Eclipse, a récemment mis en ligne un exploit de preuve de concept pour une seconde faille zero-day affectant Microsoft Defender, nommée RedSun. Cette annonce survient deux semaines après la publication d’un exploit similaire, témoignant d’une critique à l’encontre de la manière dont l’entreprise collabore avec les chercheurs en cybersécurité.

Cette vulnérabilité concerne une faille d’escalade de privilèges locaux (LPE) permettant d’obtenir des privilèges SYSTEM sur des systèmes d’exploitation tels que Windows 10, Windows 11 et Windows Server, en utilisant les derniers correctifs publiés lors du Patch Tuesday d’avril.

Le chercheur décrit le comportement de Windows Defender lorsqu’un fichier malveillant est détecté avec une balise cloud, affirmant que l’antivirus, censé protéger les utilisateurs, se contente de réécrire le fichier à son emplacement d’origine. Cette fonctionnalité est exploitée pour remplacer des fichiers système et obtenir des privilèges administratifs.

Will Dormann, analyste principal des vulnérabilités chez Tharros, a confirmé auprès de BleepingComputer que l’exploit de RedSun fonctionnait sur des versions complètement mises à jour de Windows 10, Windows 11 et Windows Server 2019 et ultérieures. Dormann a détaillé les étapes de l’exploit dans un fil sur Mastodon, indiquant comment il utilise l’API Cloud Files pour écrire un fichier de test antivirus, puis contourner la protection pour réécrire le fichier dans le répertoire C:Windowssystem32.

Bien que certains fournisseurs d’antivirus détectent cet exploit sur VirusTotal, le chercheur a réussi à réduire ces détections en chiffrant la chaîne EICAR dans l’exécutable. La semaine dernière, Chaotic Eclipse avait également publié un exploit pour une autre faille zero-day de Microsoft Defender, dénommée BlueHammer, suivie sous l’identifiant CVE-2026-33825, qui a été corrigée dans une mise à jour de sécurité récente.

Ce chercheur a exprimé son mécontentement concernant l’interaction avec le Microsoft Security Response Center (MSRC), affirmant avoir vécu des expériences traumatisantes lorsqu’il a tenté de signaler des vulnérabilités. Microsoft a réagi à ces allégations en déclarant que l’entreprise a un engagement envers ses clients pour enquêter sur les problèmes de sécurité et mettre à jour les appareils concernés le plus rapidement possible. Un porte-parole a également souligné l’importance de la divulgation coordonnée des vulnérabilités, une pratique reconnue dans l’industrie.