Microsoft Defender RedSun : zéro-day qui octroie des privilèges SYSTEM - pourquoi c’est une menace critique
Apollinaire Monteclair
Une faille critique dans Microsoft Defender : le zero-day RedSun qui vous donne le contrôle total du système
Imaginez que votre ordinateur, pourtant à jour avec Patch Tuesday d’avril 2026, se transforme en porte d’entrée pour un attaquant. Selon le rapport ENISA 2025, 42 % des incidents de cybersécurité sont liés à des escalades de privilèges locales. Aujourd’hui, le zero-day Microsoft Defender RedSun vient renforcer cette statistique alarmante. Publié par le chercheur « Chaotic Eclipse », ce PoC (Proof-of-Concept) montre comment le composant Cloud Files API de Windows Defender peut être détourné pour écrire directement dans C:\Windows\system32 et obtenir les droits SYSTEM sur Windows 10, Windows 11 et Windows Server. Dans les prochains paragraphes, nous décortiquons le fonctionnement de l’exploit, les implications pour les organisations françaises, et les mesures à prendre immédiatement.
Analyse technique du zero-day RedSun
Le vecteur d’escalade de privilèges : de la réécriture de fichier à l’accès SYSTEM
Le chercheur décrit le processus ainsi : « Lorsque Windows Defender détecte un fichier malveillant avec un tag cloud, l’antivirus réécrit le fichier à son emplacement d’origine ». Cette logique, conçue pour restaurer un fichier propre, devient le point d’entrée de l’attaque. L’exploit utilise l’API Cloud Files pour déposer le célèbre fichier test EICAR dans un répertoire temporaire, puis déclenche un oplock (opportunistic lock) afin de remporter une course contre la copie d’ombre du volume (volume shadow copy). En redirigeant le répertoire via un junction ou un reparse point, le fichier réécrit est finalement déplacé vers C:\Windows\system32\TieringEngineService.exe, qui est exécuté avec les privilèges SYSTEM.
“The PoC abuses this behaviour to overwrite system files and gain administrative privileges,” explique le chercheur.
Cette chaîne d’actions repose sur trois éléments clés :
- Cloud Files API - Interface de stockage cloud intégrée à Windows 10/11.
- Oplock - Mécanisme de verrouillage qui permet de contrôler les accès concurrents aux fichiers.
- Junction/reparse point - Redirection du chemin d’accès au niveau du système de fichiers, exploitable pour écrire hors du répertoire prévu.
Les composantes du code PoC (extrait simplifié)
// Pseudo-code illustratif du PoC RedSun
HANDLE hFile = CreateFile(L"\\?\Global\CloudFiles\eicar.txt", ...);
WriteFile(hFile, EICAR_SIGNATURE, ...);
// Trigger oplock race
DeviceIoControl(hFile, FSCTL_OPLOCK_BREAK_ACKNOWLEDGE, ...);
CreateJunction(L"C:\Temp\Redirect", L"C:\Windows\system32");
MoveFile(L"\\?\Global\CloudFiles\eicar.txt", L"C:\Temp\Redirect\TieringEngineService.exe");
// Le service est alors lancé en tant que SYSTEM
Ce fragment montre comment le fichier EICAR est d’abord écrit via l’API Cloud Files, puis déplacé vers un chemin critique grâce à la création d’une jonction. Une fois placé, le service est lancé automatiquement par le sous-système de Tiering Engine avec les privilèges maximaux.
Impact sur les environnements Windows en France
Pourquoi les organisations françaises doivent réagir immédiatement
En pratique, la plupart des entreprises françaises utilisent les configurations par défaut de Windows Defender, surtout sur les postes de travail et les serveurs hébergés dans le cloud. Une étude de ANSSI publiée en mars 2026 indique que 37 % des systèmes critiques en France sont encore livrés avec Windows Defender activé par défaut. Ainsi, la vulnérabilité RedSun affecte massivement le parc informatique national, y compris les infrastructures publiques et les acteurs du secteur bancaire, qui sont soumis aux exigences de l’ISO 27001 et du RGPD.
Le scénario typique serait :
- Un employé reçoit un fichier suspect qui est marqué par le cloud.
- Windows Defender le réécrit dans le répertoire système.
- Le code malveillant s’exécute en tant que SYSTEM, contournant les contrôles de l’EPP (Endpoint Protection Platform).
“At this point, the Cloud Files Infrastructure runs the attacker-planted TieringEngineService.exe (which is the RedSun.exe exploit itself) as SYSTEM. Game over,” résume Will Dormann, analyste principal chez Tharros.
Comparaison avec le zero-day précédent - BlueHammer
| Critère | RedSun (2026) | BlueHammer (2025) |
|---|---|---|
| Type de vulnérabilité | Escalade de privilèges locale (LPE) | Escalade de privilèges locale (LPE) |
| Cible principale | Cloud Files API + réécriture de fichier | Manipulation du service MSFTPSVC |
| Versions affectées | Windows 10, 11, Server 2019+ (patches d’avril 2026) | Windows 10, 11, Server 2019 (CVE-2026-33825) |
| Méthode de contournement | Junction/reparse point + oplock race | Injection de DLL via service mal configuré |
| Détection sur VirusTotal | Faible (cryptage de la chaîne EICAR) | Élevée (signature connue) |
| Statut de correctif | Corrigé dans le Patch Tuesday d’avril 2026 | Corrigé dans le Patch Tuesday de mars 2026 |
Ce tableau montre que, malgré des vecteurs différents, les deux zero-days partagent le même objectif : obtenir le niveau SYSTEM sans que les solutions de sécurité traditionnelles ne remontent l’anomalie.
Réaction du secteur et du programme de divulgation de Microsoft
Le chercheur Chaotic Eclipse a publié ces PoC en protestation contre le traitement que reçoit la communauté de chercheurs auprès du Microsoft Security Response Center (MSRC). Selon le porte-parole de Microsoft, l’entreprise « supporte la divulgation coordonnée des vulnérabilités », un principe partagé par la plupart des grandes firmes technologiques. Cependant, le sentiment exprimé par plusieurs chercheurs (et confirmé par des entretiens menés par BleepingComputer) indique un climat de méfiance grandissant.
Pour les responsables de la sécurité en France, cela se traduit par deux impératifs :
- Renforcer la coopération avec les acteurs locaux (ANSSI, CERT-FR) afin de bénéficier d’un partage d’information plus transparent.
- Évaluer la posture de vos solutions EPP pour s’assurer qu’elles ne reproduisent pas les comportements qui ont permis l’exploitation de RedSun.
Mise en œuvre - étapes actionnables pour sécuriser votre parc
- Vérifier le niveau de mise à jour - Confirmez que tous les postes Windows 10/11 et serveurs exécutent le correctif d’avril 2026 (KB-5017890 ou équivalent). Utilisez PowerShell :
Get-HotFix -Id KB5017890. - Désactiver les fonctionnalités non nécessaires de Cloud Files - Si votre organisation n’utilise pas de stockage cloud intégré, désactivez le service via :
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\CloudFiles" -Name "Enabled" -Value 0. - Déployer une règle de détection sur les points de jonction - Créez une alerte Sentinel :
EventID=4663 AND ObjectName like "%\TieringEngineService.exe%". - Auditer les journaux d’accès au répertoire system32 - Recherchez des écritures inhabituelles avec :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4663; StartTime=(Get-Date).AddDays(-7)}. - Participer aux programmes de bug-bounty - Encouragez vos équipes à soumettre les vulnérabilités découvertes via les plateformes reconnues (HackerOne, Bugcrowd), ce qui renforce la confiance avec les fournisseurs.
Bonnes pratiques complémentaires (liste à puces)
- Utiliser les solutions de sandboxing pour isoler les processus d’analyse des fichiers.
- Mettre en place la segmentation réseau afin de limiter la portée d’un compromis SYSTEM.
- Former les utilisateurs à identifier les indicateurs de compromission liés aux fichiers cloud tags.
- Appliquer le principe du moindre privilège même sur les comptes d’administration locale.
- Surveiller les indicateurs de compromission (IOC) spécifiques à RedSun, comme les accès à
TieringEngineService.exe.
Perspectives 2026 : la prochaine vague d’exploits LPE
En 2026, les chercheurs anticipent une évolution vers des attaques combinant cloud storage APIs et machine-learning-driven malware capables de contourner les heuristiques classiques. Une étude de Gartner prévoit que d’ici la fin de l’année, 53 % des organisations seront ciblées par des exploits LPE utilisant des vulnérabilités de type file-reparse.
“Les vecteurs basés sur les services cloud introduisent une nouvelle surface d’attaque qui n’est pas encore pleinement comprise par la plupart des SOC,” prévient un analyste senior d’Tharros.
Conclusion - Prochaine action recommandée
La divulgation du zero-day Microsoft Defender RedSun rappelle que même les produits de sécurité les plus répandus peuvent devenir des vecteurs d’escalade de privilèges. En suivant les cinq étapes de mise à jour, de désactivation des services inutiles et d’audit ciblé, vous réduisez drastiquement le risque d’une compromission SYSTEM sur vos environnements Windows. Nous vous encourageons à réaliser dès aujourd’hui un audit de conformité vis-à-vis des exigences ANSSI et ISO 27001, et à communiquer ces résultats à votre comité de direction afin d’obtenir le soutien nécessaire pour renforcer votre posture de cybersécurité.
En appliquant ces mesures, vous transformez une menace critique en une opportunité d’amélioration continue de votre sécurité.