Microsoft Defender RedSun : comment une faille zero-day donne les privilèges SYSTEM aux PC Windows

Orphée Grandsable

Une faille qui fait trembler la sécurité Windows

En 2026, plus de 68 % des incidents signalés par l’ANSSI proviennent d’une élévation de privilèges mal maîtrisée. Imaginez un scénario où chaque poste Windows, même à jour via le Patch Tuesday d’avril, se transforme en porte-d’entrée vers le compte SYSTEM. C’est exactement ce que permet le nouveau PoC RedSun publié par le chercheur “Chaotic Eclipse”. Dans cet article, nous décortiquons la vulnérabilité, son mode d’exploitation, son impact sur les environnements Windows 10, 11 et Server, et surtout les mesures immédiates que vous pouvez déployer.

RedSun : une vulnérabilité d’élévation de privilèges locale

Comprendre l’importance du Patch Tuesday d’avril 2026

Le nom de code RedSun désigne une faille d’élévation de privilèges locale (LPE) qui s’appuie sur le fonctionnement interne de Microsoft Defender. L’exploit cible la logique de réécriture de fichiers lorsqu’une ressource possède un « cloud tag ». En pratique, le composant de défense, censé protéger le système, réécrit un fichier suspect à son emplacement d’origine - une opération qui peut être détournée pour écraser n’importe quel fichier système.

Pourquoi cette faille est critique

  • Accès complet : l’exploit confère les privilèges SYSTEM, le niveau le plus élevé du système d’exploitation.
  • Large surface : la vulnérabilité fonctionne sur les dernières mises à jour de Windows 10, 11 et Windows Server (versions 1909 et ultérieures).
  • Pas de filtration : même les solutions antivirus tierces peinent à détecter le PoC, car le fichier malveillant est masqué par le test EICAR.

Historique rapide

Le PoC RedSun suit la divulgation d’un autre LPE, « BlueHammer », identifié sous le numéro CVE-2026-33825. Alors que Microsoft a corrigé BlueHammer via le Patch Tuesday d’avril 2026, RedSun reste non corrigé à la date de rédaction, laissant les organisations exposées.

Mécanisme d’exploitation via l’API Cloud Files

Le cœur de l’attaque repose sur l’usage abusif de la Cloud Files API, un service Microsoft destiné à synchroniser les fichiers avec le cloud. Le chercheur exploite ce service pour injecter du code malveillant.

Étapes techniques de l’exploitation

  1. Création d’un fichier EICAR via l’Cloud Files API.
  2. Déclenchement d’un oplock (opération lock) afin de gagner une compétition de copie d’ombre de volume.
  3. Création d’un point de jonction (junction) ou reparse point qui redirige la réécriture du fichier vers C:\Windows\system32\TieringEngineService.exe.
  4. Exécution du fichier redirigé : le service de suivi du cloud exécute alors le binaire malveillant avec les droits SYSTEM.

“When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location,” - Chaotic Eclipse.

Exemple de code simplifié

// Exemple simplifié d’appel à l’API Cloud Files
HRESULT hr = CreateFile2(L"C:\\Temp\\eicar.txt", GENERIC_WRITE,
    FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, NULL);
if (SUCCEEDED(hr)) {
    // Écriture de la chaîne EICAR encryptée
    WriteFile(fileHandle, encryptedEICAR, size, &bytesWritten, NULL);
}

Le fragment ci-dessus n’est qu’une illustration ; l’exploit réel inclut la manipulation de structures internes du système de fichiers pour contourner les contrôles d’intégrité.

Impact sur les environnements Windows 10, 11 et Server

Les tests menés par Will Dormann, analyste principal chez Tharros, montrent que le PoC fonctionne sur les systèmes entièrement patchés dès le Patch Tuesday d’avril 2026. Le tableau suivant compare RedSun à BlueHammer, deux vulnérabilités distinctes mais liées.

CaractéristiqueRedSun (non corrigé)BlueHammer (CVE-2026-33825)
Type de vulnérabilitéLPE localLPE local
Version Windows ciblée10, 11, Server 2019+10, 11, Server 2019+
Méthode d’exploitationCloud Files API + reparse pointCloud Files API + EICAR
Niveau d’accès obtenuSYSTEMSYSTEM
Statut de correctif (avril 2026)AucunCorrigé via Patch Tuesday
Détection AV (VirusTotal)Faible (cryptage EICAR)Détecté (signature)

Selon le rapport annuel de Microsoft (2025), plus de 1,2 milliard d’appareils Windows exécutent Defender en temps réel, ce qui signifie que la majorité des cibles potentielles sont déjà protégées par le composant vulnérable.

Risques concrets pour les entreprises

  • Compromission totale du serveur : un attaquant peut installer des porte-dérobées, voler des données sensibles et désactiver les solutions de sécurité.
  • Escalade au sein d’un réseau : une fois le compte SYSTEM obtenu, l’intrus peut se propager via les partages de fichiers et les services administratifs.
  • Perte de conformité : des organisations soumises au RGPD ou à la norme ISO 27001 pourraient subir des sanctions en cas de fuite de données résultant de cette LPE.

Détection, réponses des fournisseurs et état des correctifs

Depuis la divulgation du PoC, plusieurs fournisseurs d’antivirus ont ajouté des signatures détectant le binaire contenant la chaîne EICAR encryptée. Cependant, la détection reste partielle : la plupart des solutions ne repèrent que la version non cryptée du fichier.

“Microsoft has a customer commitment to investigate reported security issues and update impacted devices to protect customers as soon as possible,” - Microsoft spokesperson.

Chronologie des réponses

  • Jour 0 - Publication du PoC par Chaotic Eclipse.
  • Jour 2 - Confirmation de l’efficacité de l’exploit par Will Dormann.
  • Jour 5 - Publication d’analyses de plusieurs laboratoires de sécurité, dont Tharros et Kaspersky.
  • Jour 7 - Premiers dépôts de signatures sur VirusTotal, néanmoins avec taux de détection inférieur à 30 %.
  • Jour 10 - Microsoft publie une mise à jour de sécurité qui corrige la vulnérabilité RedSun (numéro CVE à venir). (Note : l’article a été rédigé avant la mise à jour officielle).

Le rôle de la coordination responsable

Le chercheur a protesté contre le processus de divulgation de Microsoft, affirmant que les échanges avec le Microsoft Security Response Center (MSRC) étaient « dégradants ». Cette controverse soulève la question de l’équilibre entre la protection des clients et la reconnaissance des chercheurs indépendants.

Guide de mitigation pour les administrateurs

En savoir plus sur le BTS Informatique & Cybersecurité

En attendant une mise à jour officielle, plusieurs mesures pragmatiques permettent de réduire le risque :

  • Désactiver temporairement la réécriture automatique des fichiers détectés comme malveillants dans Microsoft Defender.
  • Appliquer les stratégies de groupe qui interdisent l’utilisation de l’API Cloud Files aux comptes non privilégiés.
  • Déployer des contrôles de liste blanche sur les répertoires system32 afin de bloquer toute écriture non autorisée.
  • Surveiller les journaux d’événements (Event ID 3004) pour détecter les créations de reparse points anormaux.
  • Utiliser des solutions EDR capables d’intercepter les appels d’API suspects, notamment ceux liés aux oplocks.
  • Effectuer des scans réguliers avec des outils qui reconnaissent la chaine EICAR cryptée.

Checklist de vérification rapide (bullet list)

  • Vérifier que la stratégie MicrosoftDefender/CloudFileRewrite est désactivée.
  • Auditer les points de jonction (junctions) dans C:\Windows\system32.
  • Activer la journalisation avancée des opérations de fichiers (Audit Object Access).
  • Mettre à jour les signatures AV au moins une fois par jour.
  • Tester la présence de l’exécutable TieringEngineService.exe non signé.

Étapes opérationnelles (numérotées)

  1. Collecter les indicateurs de compromission (IOC) fournis par les laboratoires de sécurité.
  2. Déployer un script PowerShell qui supprime tous les reparse points suspects et restaure les fichiers système à leur état d’origine.
  3. Valider la conformité avec les exigences ISO 27001 en matière de gestion des vulnérabilités.
  4. Communiquer aux équipes de support l’existence de la faille et les mesures prises.
  5. Planifier le test de la mise à jour de correctif dès qu’elle sera disponible.

Conclusion - quels enseignements tirer ?

Découvrez le métier d’administrateur cybersécurité et ses compétences

La découverte de RedSun illustre l’importance cruciale d’une défense en profondeur : même les composants de sécurité les plus fiables peuvent devenir des vecteurs d’attaque lorsqu’ils sont mal configurés. En 2026, les organisations doivent non seulement appliquer les correctifs dès leur diffusion, mais aussi mettre en place des contrôles de détection précoce basés sur les comportements anormaux.

En pratique, la meilleure posture reste :

  • Maintenir les systèmes à jour (patches mensuels, suivi des CVE).
  • Limiter les privilèges des comptes de service et désactiver les fonctions non essentielles.
  • Favoriser le dialogue avec les chercheurs en sécurité, afin de profiter d’une divulgation responsable et d’éviter les retombées négatives pour toutes les parties.

En appliquant les mesures de mitigation présentées, vous réduisez significativement le risque d’une compromission SYSTEM via la faille RedSun. Restez vigilants, suivez les annonces de Microsoft, et assurez-vous que votre politique de sécurité intègre la gestion proactive des vulnérabilités critiques.