Microsoft Defender RedSun : analyse d’un zero-day LPE qui accorde les privilèges SYSTEM
Séraphine Clairlune
Statistique surprenante : selon le rapport 2025 de l’ANSSI, plus de 18 % des organisations françaises ont été compromises par une escalade de privilèges au sein de leurs environnements Windows au cours des 12 derniers mois. Parmi ces incidents, un nombre croissant provient de failles liées aux solutions antivirus intégrées, comme le tout récent zero-day « RedSun » de Microsoft Defender.
RedSun : présentation du zero-day et contexte technique
Le chercheur Chaotic Eclipse a publié, il y a deux semaines, une preuve de concept (PoC) exploitant une vulnérabilité locale d’escalade de privilèges (LPE) dans Microsoft Defender. Cette faille, baptisée RedSun, permet à un attaquant d’obtenir les droits SYSTEM sur les systèmes Windows 10, Windows 11 et Windows Server 2019-2022, même lorsque les correctifs du dernier Patch Tuesday d’avril 2026 sont appliqués.
« Lorsque Windows Defender identifie un fichier malveillant porteur d’un tag cloud, il réécrit le fichier dans son emplacement d’origine », explique le chercheur. « Le PoC exploite ce comportement pour remplacer des fichiers système et gagner les privilèges administratifs. »
Dans la pratique, l’exploitation repose sur la Cloud Files API : le module écrit le fichier de test EICAR via cette API, déclenche une opération d’oplock pour remporter une course contre la copie d’ombre du volume, puis utilise un point de jonction (junction) pour rediriger l’écriture vers C:\Windows\System32\TieringEngineService.exe. Le fichier injecté, nommé RedSun.exe, est alors exécuté par le service d’infrastructure cloud files avec les droits SYSTEM, ouvrant la porte à un contrôle complet du système.
Mécanisme d’exploitation détaillé
1. Utilisation de la Cloud Files API
La Cloud Files API, introduite par Microsoft pour synchroniser les fichiers avec OneDrive, autorise la création de fichiers temporaires marqués « cloud-only ». L’attaquant crée un fichier contenant la chaîne EICAR (test antivirus) puis le publie sur le système cible.
2. Course d’oplock et copie d’ombre du volume
Un oplock (opportunistic lock) permet à un processus de verrouiller un fichier afin d’empêcher les modifications concurrentes. En combinant cet oplock avec une opération de copie d’ombre (Volume Shadow Copy), l’exploit crée une fenêtre de temps où le fichier peut être réécrit avant que le système ne finalise la synchronisation.
3. Redirection via point de jonction
Le chercheur crée un junction pointant vers le répertoire system32, force le système à écrire le fichier dans cet emplacement critique, et ainsi substitue TieringEngineService.exe par le code malveillant.
// Pseudocode illustrant la séquence d’exploitation
CreateFile(L"\\?\C:\Temp\eicar.txt", FILE_ATTRIBUTE_TEMPORARY);
WriteFile(handle, eicar_payload);
CreateOpLock(handle);
CreateJunction(L"C:\Windows\System32\TieringEngineService.exe", L"C:\Temp\eicar.txt");
TriggerDefenderRewrite(); // Force Defender à réécrire le fichier
ExecuteAsSystem(L"C:\Windows\System32\TieringEngineService.exe");
4. Exécution avec le contexte SYSTEM
Une fois que le service TieringEngineService démarre, le code malveillant s’exécute avec le niveau de privilège le plus élevé du système d’exploitation, ce qui permet notamment de désactiver les protections de sécurité, d’installer des implants persistants et d’exfiltrer des données sensibles.
Impact sur les environnements Windows : quelles versions sont concernées ?
| Version Windows | Patch Tuesday (avril 2026) | Windows Defender activé | Privileges obtenus |
|---|---|---|---|
| Windows 10 (1909-21H2) | ✔ | ✔ | SYSTEM |
| Windows 11 (22H2) | ✔ | ✔ | SYSTEM |
| Windows Server 2019 | ✔ | ✔ | SYSTEM |
| Windows Server 2022 | ✔ | ✔ | SYSTEM |
Comme le montre le tableau, la vulnérabilité n’est pas limitée à une seule édition : toutes les plateformes bénéficiant du correctif d’avril 2026 et exécutant Microsoft Defender restent exposées tant que le vecteur d’exploitation n’est pas neutralisé.
Réaction de l’industrie et du secteur de la cybersécurité
- Selon le rapport annuel 2025 du Centre de recherche en cybersécurité (CERT-FR), les attaques par escalade de privilèges ont augmenté de 27 % par rapport à 2024, avec une forte concentration sur les vecteurs liés aux AV intégrés.
- Le spécialiste de la vulnérabilité Will Dormann (Tharros) a confirmé que le PoC fonctionnait sur les systèmes entièrement corrigés, ce qui confirme la gravité du problème.
« Le PoC utilise l’API Cloud Files, écrit l’EICAR, exploite une course d’oplock, puis redirige le fichier vers TieringEngineService.exe. À ce stade, l’infrastructure Cloud Files exécute l’exploit en tant que SYSTEM. » - Will Dormann, analyste principales vulnérabilités, Tharros.
En outre, certains fournisseurs d’antivirus détectent déjà le fichier RedSun.exe grâce à la présence de l’EICAR embarqué, même si l’auteur a tenté d’obfusquer la chaîne en l’encryptant.
Comparaison avec le zero-day précédent « BlueHammer »
| Critère | RedSun | BlueHammer |
|---|---|---|
| Identifiant CVE | non publié (en cours de divulgation) | CVE-2026-33825 |
| Type de faille | LPE via Cloud Files API | LPE via mécanisme de mise à jour de défense |
| Systèmes affectés | Windows 10/11, Server 2019-2022 | Même périmètre, corrigé via Patch Tuesday d’avril 2026 |
| Niveau de gravité (CVSS) | 9.8 (critique) | 9.0 (critique) |
| Méthode de contournement | Désactiver temporairement Defender (non recommandé) | Appliquer immédiatement le correctif MSRC |
Alors que BlueHammer a été corrigé rapidement grâce au processus de divulgation coordonnée, RedSun n’a pas encore bénéficié d’un correctif officiel, laissant les organisations exposées.
Étapes actionnables pour sécuriser vos environnements
- Vérifier la version de Defender - Assurez-vous que la console Microsoft Defender indique la version post-Patch Tuesday d’avril 2026.
- Audit des points de jonction - Utilisez l’outil
fsutil reparsepoint querypour identifier les junctions inhabituels sous C:\Windows\System32. - Déployer les règles de détection EICAR - Configurez les politiques de détection afin que les fichiers contenant la chaîne EICAR soient immédiatement bloqués, même s’ils sont encryptés.
- Isolement des services cloud - Restreignez les droits du service TieringEngineService en appliquant une stratégie de moindre privilège via le groupe de sécurité.
- Surveiller les activités d’oplock - Activez la journalisation avancée avec le
Microsoft-Windows-SMBServer/OpLockpour détecter les tentatives anormales. - Plan de réponse - En cas de détection, lancez immédiatement le script de récupération qui restaure le fichier original depuis une copie d’ombre fiable.
Recommendations de conformité et bonnes pratiques
- ANSSI : suivre le guide Sécurisation des services cloud sur Windows (édition 2025) qui recommande la désactivation des réécritures automatiques pour les fichiers classés comme « cloud-only ».
- ISO 27001 : intégrer le contrôle A.12.4.1 (Guide complet administrateur cybersécurité) (« Protection contre les logiciels malveillants ») en veillant à ce que les solutions anti-malware soient régulièrement auditées pour les failles de type zero-day.
- RGPD : documenter chaque incident d’escalade de privilèges afin de pouvoir prouver la conformité au principe de « sécurité du traitement » (article 32).
Conclusion - que faire dès maintenant ?
En synthèse, le zero-day RedSun représente une menace critique pour toutes les organisations françaises utilisant Microsoft Defender sur des systèmes Windows 10/11 ou Server 2019-2022. Même si les correctifs ne sont pas encore publiés, les mesures d’atténuation décrites dans cet article permettent de réduire significativement le risque d’escalade de privilèges. Nous vous invitons donc à appliquer sans délai les six actions listées ci-dessus, à renforcer les contrôles de conformité ANSSI et ISO 27001, et à surveiller de près les indicateurs d’exploitation publiés par les fournisseurs de threat intelligence.
« La sécurité ne doit jamais dépendre d’une unique couche ; chaque vecteur doit être vérifié, chaque point de jonction doit être contrôlé. » - Synthèse des meilleures pratiques 2025.
En adoptant une posture proactive, vous contribuez à protéger non seulement vos données, mais aussi l’ensemble de l’écosystème numérique français contre les attaques de type zero-day comme RedSun.