RedSun et UnDefend : deux zero-days Defender exploités

Les faits

Le 21 mai 2026, Microsoft a averti que deux vulnérabilités zero-day affectant Microsoft Defender étaient exploitées activement dans des attaques réelles. Les deux failles, nommées RedSun (CVE-2026-41091) et UnDefend (CVE-2026-45498), ont été patchées dans la version 4.18.26040.7 de la Microsoft Defender Antimalware Platform. La CISA a simultanément ajouté les deux CVE à son catalogue Known Exploited Vulnerabilities (KEV), avec une date limite de remédiation fixée au 3 juin 2026 pour les agences fédérales américaines (FCEB). Selon Help Net Security et SecurityWeek, les deux vulnérabilités étaient exploitées dans des intrusions ciblées avant leur divulgation publique.

CVE-2026-41091, baptisée RedSun, est une vulnérabilité d'élévation de privilèges locaux (LPE) dans le Microsoft Malware Protection Engine — le moteur central de Defender. Avec un CVSS de 7.8, la faille est causée par une résolution incorrecte des liens symboliques (symlinks) avant l'accès aux fichiers par le moteur. Un attaquant disposant d'un accès local standard peut exploiter ce comportement pour forcer le moteur à accéder à des chemins arbitraires avec les privilèges SYSTEM, permettant l'élévation vers les droits les plus élevés de Windows. La déclaration officielle de Microsoft précise : "un attaquant qui exploite avec succès cette vulnérabilité peut obtenir des privilèges SYSTEM".

CVE-2026-45498, nommée UnDefend, cible le mécanisme de mise à jour des définitions de Defender. Avec un CVSS de 4.0, sa gravité intrinsèque peut sembler modeste, mais son impact opérationnel est considérable : la faille permet à un utilisateur standard de bloquer les mises à jour des définitions de Microsoft Defender Antivirus, rendant la protection antimalware progressivement inefficace à mesure que la base de signatures vieillit. Dans le contexte d'une intrusion, un attaquant utilise UnDefend pour désarmer la protection Defender avant de déployer ses charges utiles malveillantes, évitant la détection par la solution de sécurité native de Windows.

Les chercheurs en réponse à incident de Huntress ont documenté l'utilisation conjointe des exploits BlueHammer, RedSun et UnDefend dans des attaques réelles. La chaîne d'exploitation typique observée suit un schéma cohérent : BlueHammer est utilisé pour l'accès initial ou la persistance, UnDefend (CVE-2026-45498) désactive les mises à jour de signatures Defender pour aveugler la protection antimalware, puis RedSun (CVE-2026-41091) fournit l'élévation vers SYSTEM permettant d'exécuter des actions administratives sur le poste compromis. Cette combinaison constitue un toolkit d'intrusion efficace contournant les défenses Windows natives.

L'aspect particulièrement préoccupant réside dans le vecteur ciblé : Microsoft Defender lui-même, la couche de protection présente par défaut sur l'ensemble des systèmes Windows modernes. Contrairement à des vulnérabilités dans des logiciels tiers nécessitant une installation spécifique, Defender est activé par défaut sur Windows 10, Windows 11 et Windows Server 2019/2022/2025. L'exposition est donc universelle pour tout parc Windows non patché, indépendamment du logiciel de sécurité tiers éventuellement déployé en complément.

La mise à jour de la plateforme Antimalware Platform se distingue des mises à jour Windows classiques dans son mécanisme de distribution. Elle n'est pas distribuée via Windows Update sous forme de patch cumulatif mensuel (Patch Tuesday) mais via les canaux de mise à jour de Defender lui-même, incluant Windows Update, Microsoft Update Catalog et les solutions de gestion WSUS ou SCCM/MECM. Dans les environnements gérés où les mises à jour automatiques sont désactivées ou retardées par politique, les équipes IT doivent pousser activement cette mise à jour sans attendre le prochain cycle mensuel.

Microsoft n'a pas attribué publiquement ces attaques à un acteur spécifique. Huntress note que les trois exploits (BlueHammer, RedSun, UnDefend) ont été observés dans des intrusions ciblées, suggérant des acteurs sophistiqués. L'utilisation de RedSun pour obtenir des privilèges SYSTEM — combinée au désarmement de Defender via UnDefend — ressemble à la préparation d'un déploiement de ransomware ou d'un accès persistant de type RAT sur des postes à haute valeur. Ce timing post-Patch-Tuesday de mai 2026 s'inscrit dans une tendance inquiétante : le groupe Nightmare Eclipse a divulgué plusieurs zero-days Windows dans cette période, dont MiniPlasma, GreenPlasma et YellowKey (CVE-2026-45585, bypass BitLocker).

La commande PowerShell permettant de vérifier rapidement la version de la plateforme Antimalware sur un endpoint est la suivante : Get-MpComputerStatus | Select-Object AMProductVersion. La version doit afficher 4.18.26040.7 ou supérieure. Pour un inventaire à grande échelle, cette vérification peut être déployée via un script PowerShell distribué par GPO ou par les solutions de gestion de flotte (MECM, Intune, Ansible). Les organisations disposant de systèmes Windows Server en mode Core (sans interface graphique) sont particulièrement à risque d'oubli, ces systèmes étant moins souvent inclus dans les campagnes de vérification manuelle.

Impact et exposition

Tous les systèmes Windows (10, 11, Server 2019/2022/2025) avec Microsoft Defender Antimalware Platform antérieure à 4.18.26040.7 sont exposés. L'exposition est maximale dans les environnements où les mises à jour automatiques de Defender sont désactivées ou retardées (politiques restrictives, serveurs en production). CVE-2026-41091 (RedSun) permet à tout utilisateur local non privilégié d'obtenir SYSTEM — menace directe dans tout environnement multi-utilisateurs ou lors d'une intrusion avec un accès utilisateur initial faible. CVE-2026-45498 (UnDefend) amplifie l'impact en rendant Defender progressivement aveugle.

Recommandations

• Immédiat : vérifier la version Defender Antimalware Platform sur tous les endpoints — elle doit être >= 4.18.26040.7 via Get-MpComputerStatus | Select-Object AMProductVersion
• Forcer la mise à jour Defender via WSUS, MECM ou Intune si les mises à jour automatiques sont restreintes — ne pas attendre le prochain Patch Tuesday
• Surveiller les tentatives d'exploitation de RedSun : accès symlink suspect par le processus MsMpEng.exe dans les journaux d'événements Windows (Event ID 4656/4663)
• Contrôler l'intégrité des mises à jour de signatures Defender — une stagnation anormale des définitions peut indiquer une exploitation d'UnDefend
• Investiguer tout endpoint où Defender n'a pas mis à jour ses définitions depuis plus de 24 heures dans un environnement normalement connecté