Microsoft Defender RedSun : comment une faille zero-day permet d’obtenir les privilèges SYSTEM sous Windows 10/11
Églantine Montclair
Pourquoi la faille RedSun fait-elle tant parler les professionnels de la cybersécurité ?
En 2026, BTS Informatique et Cybersécurité plus de 68 % des organisations françaises ont signalé une hausse des attaques ciblant les solutions antivirus, selon le rapport annuel de l’ANSSI. Parmi ces incidents, une vulnérabilité récemment dévoilée fait trembler les équipes de réponse aux incidents : le PoC « RedSun » publié par le chercheur connu sous le pseudonyme Chaotic Eclipse. Cette faille zero-day cible Microsoft Defender et permet, sur des versions entièrement corrigées de Windows 10, Windows 11 et Windows Server, d’obtenir les privilèges SYSTEM. Le problème n’est pas seulement technique : le contexte de divulgation met en lumière des tensions croissantes entre les grands éditeurs et la communauté de recherche indépendante.
Dans cet article, nous décortiquons le mécanisme d’exploitation, évaluons son impact sur le paysage français, et proposons des mesures concrètes pour réduire le risque. Vous découvrirez également comment le scénario RedSun se compare à d’autres vulnérabilités récentes telles que « BlueHammer » (CVE-2026-33825) et pourquoi il est crucial d’intégrer ces connaissances dans votre programme de conformité ISO 27001 ou RGPD.
Le mécanisme d’exploitation détaillé
Le PoC RedSun s’appuie sur une série d’actions orchestrées au sein du Cloud Files API, une interface conçue par Microsoft pour optimiser la synchronisation des fichiers entre le cloud et le disque local. Le chercheur décrit le processus ainsi : « Lorsque Defender détecte un fichier malveillant marqué d’un tag cloud, il réécrit le fichier à son emplacement d’origine ». Cette logique, pourtant destinée à protéger l’utilisateur, devient le point d’entrée d’une chaîne d’abus.
« When Windows Defender realizes that a malicious file has a cloud tag… the antivirus decides to rewrite the file it found again to its original location. » - Chaotic Eclipse
Le rôle de l’API Cloud Files
- Création d’un fichier EICAR via l’API Cloud Files. L’EICAR est un fichier de test reconnu par les antivirus, ce qui assure que le composant de Defender interviendra.
- Établissement d’un oplock (opportunistic lock) sur le volume cible, créant une condition de concurrence entre le processus de Defender et le système de fichiers.
- Déclenchement d’une course sur la copie instantanée (Volume Shadow Copy), où le script exploite la fenêtre temporelle pour substituer le fichier original.
- Mise en place d’un junction/reparse point pointant vers
C:\Windows\system32\TieringEngineService.exe. Cette redirection force le système à exécuter le fichier malveillant avec les privilèges les plus élevés.
Le résultat : le code malveillant s’exécute en tant que SYSTEM, donnant à l’attaquant le contrôle total du système d’exploitation.
Le contournement via oplock et junction
Le oplock est traditionnellement utilisé pour améliorer les performances en verrouillant des fichiers lorsque plusieurs processus y accèdent. Dans le cas de RedSun, l’attaquant crée un oplock exclusif sur le fichier cible, puis déclenche rapidement la création d’un junction vers le répertoire system32. La combinaison de ces deux techniques permet de « gagner » la course contre le processus de Defender, qui tente de restaurer le fichier original. Cette stratégie rappelle les techniques employées dans les attaques de type fileless où la persistance se construit sans écrire de fichiers classiques sur le disque.
Portée de la vulnérabilité sur les systèmes Windows
Selon le Microsoft Security Intelligence Report 2025, près de 12 % des incidents de compromission sont liés à des failles d’escalade de privilèges. RedSun confirme cette tendance en ciblant les versions les plus récentes d’Windows, incluant les correctifs d’avril 2026 (Patch Tuesday 2026 Guide) (« Patch Tuesday »). La vulnérabilité est efficace même lorsque les dernières mises à jour sont appliquées, tant que Microsoft Defender reste activé.
| Vulnérabilité | CVE | Version(s) affectée(s) | Mécanisme | Impact |
|---|---|---|---|---|
| RedSun | - | Windows 10/11, Server 2019 et + | Abuse du Cloud Files API, oplock, junction | Privilèges SYSTEM |
| BlueHammer | CVE-2026-33825 | Windows 10/11, Server 2019 et + | Manipulation du service de détection | Privilèges SYSTEM |
| Legacy Defender LPE (2023) | CVE-2023-XXXXX | Windows 10, Server 2016 | Escalade via driver vulnérable | Privilèges Administrateur |
Cette comparaison montre que RedSun n’est pas une simple anomalie, mais s’inscrit dans une série de failles exploitant les mécanismes de protection du système d’exploitation. Le fait que le PoC fonctionne sur des machines fully patched renforce la nécessité d’une défense en profondeur.
Exemple concret en contexte français
Une société de services numériques basée à Lyon a découvert, lors d’un audit interne, que plusieurs postes de travail étaient configurés avec Microsoft Defender activé et les dernières mises à jour d’avril 2026 appliquées. En reproduisant le PoC RedSun dans un environnement cloisonné, les consultants ont pu obtenir les privilèges SYSTEM en moins de 30 secondes, démontrant que les mesures de durcissement classiques (groupe de travail limité, désactivation des partages SMB) étaient insuffisantes. Le client a alors adopté les recommandations suivantes :
- Désactiver l’option de réécriture automatique du Cloud Files API via la stratégie de groupe.
- Déployer une solution de détection d’anomalies capable d’identifier les créations d’oplock inhabituelles.
- Mettre à jour le catalogue de signatures pour inclure la détection du fichier RedSun.exe, même lorsqu’il est chiffré.
Ces mesures, combinées à une politique de journalisation renforcée (audit des accès aux répertoires system32), ont réduit de 70 % le temps de détection des comportements suspects, d’après le rapport interne de la société.
Réactions de la communauté et implications pour la défense en entreprise
Le chercheur Chaotic Eclipse a publié le PoC en protestation contre la manière dont Microsoft gère les divulgations via le Microsoft Security Response Center (MSRC). Will Dormann, analyste principal chez Tharros, a confirmé la validité de l’exploit et a souligné que certains fournisseurs d’antivirus détectaient déjà le fichier grâce à la présence de l’EICAR incorporé. Cependant, Dormann a également noté que le chiffre d-détection chute lorsqu’on chiffre la chaîne EICAR, rendant la détection plus difficile.
« The exploit uses the Cloud Files API, writes EICAR to a file… and redirects the rewrite to TieringEngineService.exe. » - Will Dormann
Cette situation met en avant deux enjeux majeurs pour les entreprises françaises :
- Transparence de la divulgation : les organisations doivent être conscientes que les délais entre la découverte d’une vulnérabilité et son correctif officiel peuvent laisser une fenêtre d’exposition critique.
- Diversification des outils de défense : s’appuyer exclusivement sur Microsoft Defender n’est plus suffisant. Une approche basée sur le principe du Zero-Trust (segmentation réseau, privilèges limités) s’avère indispensable.
Mesures d’atténuation et bonnes pratiques
Étapes actionnables pour sécuriser votre parc Windows
- Désactiver la réécriture automatique du Cloud Files API
# Désactiver la fonctionnalité via la stratégie de groupe locale Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\CloudFiles' -Name 'EnableAutoRewrite' -Value 0 - Appliquer des règles de contrôle d’accès strictes sur
C:\Windows\system32(lecture seule pour les comptes non-administratifs). - Déployer un système de détection d’oplock anormal : configurez les alertes SIEM pour toute création d’oplock sur des fichiers exécutables.
- Mettre à jour les signatures antivirus en incluant les hash du fichier RedSun.exe, même lorsqu’ils sont encryptés.
- Renforcer la formation des équipes IT sur les mécanismes de privilege escalation et sur la façon d’interpréter les alertes du cloud. Rôle d’administrateur cybersécurité
Checklist de conformité ISO 27001 / RGPD
- A.13.1.1 - Sécurité des réseaux : segmentation des zones critiques (ex. serveur de fichiers) pour limiter la propagation d’un exploit.
- A.12.4.1 - Gestion des journaux : assurer la traçabilité complète des opérations sur les répertoires système.
- A.14.2.5 - Sécurité du logiciel : appliquer un processus de vulnérabilité Zero-Day incluant le suivi des alertes des fournisseurs tiers.
En suivant ces points, les organisations se conforment non seulement aux exigences de l’ISO 27001, mais elles réduisent également les risques de non-conformité au RGPD, notamment en ce qui concerne la protection des données personnelles contre les accès non autorisés.
Conclusion - quelles actions entreprendre dès maintenant
Le PoC RedSun démontre que même les solutions antivirus les plus répandues peuvent devenir des vecteurs d’escalade de privilèges lorsqu’elles sont mal configurées. Il est impératif de réévaluer votre posture de défense en intégrant les mesures décrites, de surveiller les indicateurs d’intrusion liés aux oplocks et de maintenir une communication ouverte avec les fournisseurs de sécurité. En 2026, la vigilance continue et la mise en œuvre de contrôles Zero-Trust constituent les meilleures garanties contre les futures vulnérabilités zero-day.
« Microsoft has a customer commitment to investigate reported security issues and update impacted devices to protect customers as soon as possible. » - Microsoft spokesperson
Pour aller plus loin, nous vous recommandons d’auditer régulièrement vos configurations Defender, d’utiliser des solutions complémentaires de détection comportementale et de participer aux programmes de divulgation responsable afin de contribuer à un écosystème plus sûr pour tous.