En bref

  • Le chercheur "Chaotic Eclipse" a publié un PoC pour RedSun, deuxième zero-day Defender en deux semaines.
  • BlueHammer (CVE-2026-33825) est patchée depuis le 14 avril, RedSun et un troisième 0-day restent sans correctif.
  • Les trois failles permettent une élévation locale jusqu'au compte SYSTEM via le moteur antimalware.

Les faits

Le 28 avril 2026, un chercheur opérant sous le pseudonyme Chaotic Eclipse a publié un proof-of-concept fonctionnel pour une seconde vulnérabilité Microsoft Defender, baptisée RedSun. Cette divulgation intervient deux semaines après celle de BlueHammer (CVE-2026-33825), corrigée par Microsoft lors du Patch Tuesday d'avril mais déjà exploitée dans la nature depuis le 10 avril 2026. Source : BleepingComputer.

Selon le chercheur, sa décision est motivée par les pratiques de Microsoft envers la communauté : tickets MSRC clos sans patch, communication unilatérale, et minimisation systématique de la gravité. Trois zero-days Defender sont donc actuellement en exploitation : BlueHammer (patchée), RedSun (PoC publique, non patchée) et un troisième identifié sans nom public, également non patché. Source : The Hacker News.

Impact et exposition

Microsoft Defender étant l'antivirus par défaut sur l'ensemble du parc Windows 10 et 11, l'exposition est massive. Toutes les failles partagent le même schéma : élévation locale d'un utilisateur standard vers SYSTEM via le moteur antimalware lui-même. Un attaquant déjà présent sur la machine — phishing, exploit navigateur, document malicieux — gagne le contrôle total de l'hôte sans interaction utilisateur supplémentaire.

L'ironie est que la fonctionnalité même censée protéger l'hôte devient le vecteur de compromission. Aucun contournement officiel n'est documenté à ce jour pour RedSun, en dehors du désengagement partiel de Defender — option inacceptable en production.

Recommandations

  • Appliquez immédiatement le cumulatif d'avril 2026 si BlueHammer n'est pas corrigée sur votre flotte (CVE-2026-33825).
  • Surveillez la création inhabituelle de processus enfants par MsMpEng.exe et les écritures dans les profils utilisateurs hors session.
  • Activez Attack Surface Reduction règle "Block credential stealing from the Windows local security authority subsystem" pour limiter la portée d'une élévation SYSTEM.
  • Évaluez l'ajout d'un EDR tiers en parallèle de Defender, en mode actif, sur les postes à privilèges.

Alerte critique

Avec deux PoC publics en 15 jours et une exploitation active confirmée, considérer le poste Windows comme déjà compromis si un signal de phishing réussi est détecté. Privilégier la réinstallation à l'effort de remédiation.

Pourquoi un chercheur publie-t-il un PoC sans patch disponible ?

La divulgation responsable repose sur un contrat tacite : le chercheur garde le silence pendant un délai raisonnable, l'éditeur publie un correctif. Quand le chercheur estime que l'éditeur n'honore pas ce contrat — réponses dilatoires, requalification artificielle de la gravité, refus de bug bounty — la divulgation publique devient un levier de pression. Microsoft fait régulièrement l'objet de ces dérives, RedSun en est l'illustration la plus récente.

Faut-il désactiver Microsoft Defender en attendant le patch ?

Non. Désactiver Defender exposerait votre flotte à un éventail bien plus large d'attaques que les trois zero-days en cours. La bonne posture est de maintenir Defender actif, surveiller les processus MsMpEng.exe avec un EDR ou un journal Sysmon enrichi, et durcir les règles ASR. Le risque résiduel sur RedSun reste élevé mais reste limité aux scénarios où l'attaquant a déjà obtenu une exécution locale.

Votre EDR détecte-t-il une élévation via Defender ?

Ayi NEDJIMI évalue la posture de détection EDR/XDR sur des scénarios LOLBin et anti-EDR, dont les abus du moteur antimalware lui-même.

Articles connexes :

Demander un audit

Pour approfondir

📎 Articles complémentaires