En bref

  • RedSun, zero-day local d'élévation de privilèges dans Microsoft Defender, permet à un utilisateur non privilégié d'obtenir NT AUTHORITY\SYSTEM sur Windows.
  • Aucun patch disponible au 24 avril 2026 : Microsoft a corrigé BlueHammer lors du Patch Tuesday du 15 avril, mais RedSun et UnDefend restent en l'état.
  • Exploitation active observée depuis le 16 avril 2026, jour même de la divulgation publique : les trois failles sont chaînées pour compromettre la chaîne EDR.

Ce qui s'est passé

RedSun est la deuxième d'une série de trois vulnérabilités zero-day publiées le 16 avril 2026 par un chercheur indépendant ayant divulgué les détails techniques sans coordination préalable avec Microsoft. Baptisées BlueHammer, RedSun et UnDefend, ces failles ciblent la logique interne de Microsoft Defender, l'antivirus inclus par défaut sur toutes les versions supportées de Windows 10, Windows 11 et Windows Server 2019/2022. L'éditeur a corrigé BlueHammer (CVE-2026-33825) dans le Patch Tuesday du 15 avril, après que la CISA ait ordonné aux agences fédérales américaines de patcher la faille via une alerte KEV publiée le 21 avril. RedSun et UnDefend restent non patchées au 24 avril, et toutes deux sont exploitées en conditions réelles depuis leur divulgation, selon les télémétries publiées par Qualys et SOCRadar.

Techniquement, RedSun repose sur une erreur logique dans la gestion par Defender des fichiers marqués "cloud tag". Au lieu de mettre en quarantaine ou de supprimer un fichier détecté comme malveillant, Defender peut le réécrire ou le restaurer à son emplacement d'origine avec les privilèges du service, qui s'exécute en NT AUTHORITY\SYSTEM. L'exploitation combine des jonctions NTFS (reparse points), des verrous opportunistes (oplocks) et des appels à la Cloud Files API pour détourner l'opération d'écriture privilégiée et écraser des fichiers système protégés. Le résultat est une élévation directe vers SYSTEM sans interaction utilisateur, sans compromission réseau préalable, et sans déclencher d'alerte EDR sur la plupart des postes.

Qualys, Blackswan Cybersecurity et Picus ont chacun publié des analyses détaillées confirmant la faisabilité de l'exploit. Un proof-of-concept fonctionnel circule sur GitHub et plusieurs forums de recherche depuis le 17 avril. Les acteurs observés en exploitation chaînent BlueHammer ou RedSun pour obtenir SYSTEM, puis déploient UnDefend pour dégrader progressivement la capacité de détection et de mise à jour de Defender sur la cible, ouvrant une fenêtre d'action prolongée.

Pourquoi c'est important

RedSun transforme l'antivirus en vecteur d'attaque : le composant censé bloquer les menaces devient le mécanisme d'escalade de privilèges. Pour les parcs Windows, la surface d'attaque potentielle est massive — Defender est activé par défaut sur plusieurs centaines de millions de postes dans le monde. Les organisations qui s'appuient uniquement sur Defender comme couche de protection EDR doivent admettre que cette couche est, pour l'heure, contournable : un attaquant disposant déjà d'un accès utilisateur standard peut basculer à SYSTEM en quelques minutes, sans déclencher les détections habituelles de la plateforme Microsoft.

L'exploitation chaînée avec BlueHammer et UnDefend ajoute une dimension de persistance critique : après élévation, l'adversaire neutralise progressivement les mises à jour de Defender, ce qui prolonge la fenêtre d'exposition et complique le nettoyage post-incident. Couplée à l'entrée de BlueHammer au catalogue KEV et à la généralisation du Security Copilot dans M365 E5 — lequel s'appuie sur la télémétrie Defender —, la dépendance au stack Microsoft devient un point de défaillance critique pour les SOC qui n'ont pas prévu de défense en profondeur. Cette concentration de risque fait écho aux alertes récentes sur les patches ASP.NET Core en urgence et à la posture faible des outils d'admin modernes face aux chaînes d'attaque.

Ce qu'il faut retenir

  • Sans patch disponible, la seule mitigation réaliste consiste à durcir la configuration Defender : désactivation temporaire de la restauration automatique des fichiers taggés cloud, monitoring des créations de jonctions NTFS par le processus MsMpEng.exe, et journalisation des appels à la Cloud Files API.
  • Déployer une seconde couche EDR non Microsoft sur les postes sensibles (administrateurs, contrôleurs de domaine, bastions, postes développeurs) reste la parade la plus robuste face à une chaîne d'exploitation qui vise spécifiquement Defender.
  • Surveiller les signatures publiées par Qualys et les IOC diffusés par la communauté : les premières détections comportementales pour RedSun apparaissent dans les règles Sigma publiques depuis le 18 avril 2026.

Alerte critique

Exploitation confirmée en nature depuis le 16 avril 2026. Aucun correctif Microsoft disponible au 24 avril. Les postes utilisant Defender comme seule couche EDR sont exposés à une élévation de privilèges vers SYSTEM par tout utilisateur local authentifié, sans interaction supplémentaire.

Désactiver Defender suffit-il à se protéger de RedSun ?

Désactiver Defender ferme effectivement le vecteur RedSun mais expose le poste à toutes les menaces que Defender aurait bloquées — solution pire que le mal sur un parc sans EDR de remplacement. La réponse pragmatique consiste à maintenir Defender actif avec des règles de tamper protection strictes, à restreindre les privilèges locaux des utilisateurs standards, et à déployer un second EDR en complément pour couvrir la période sans patch. Les politiques AppLocker et WDAC limitent également la capacité d'un attaquant à créer les jonctions NTFS nécessaires à l'exploit.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit