Microsoft Defender RedSun : comment un zero-day octroi les privilèges SYSTEM sous Windows 10/11

Lysandre Beauchêne

Une faille qui fait froid dans le dos : Microsoft Defender RedSun permet d’obtenir les droits SYSTEM dès le premier regard.

En avril 2026, un chercheur du nom de Chaotic Eclipse a publié la preuve de concept (PoC) d’un nouveau zero-day ciblant Microsoft Defender, baptisé RedSun. formation en cybersécurité Cette vulnérabilité d’escalade de privilèges locaux (LPE) fonctionne même avec les dernières mises à jour Patch Tuesday et, lorsqu’Windows Defender est activé, elle accorde les privilèges SYSTEM sur Windows 10, Windows 11 et Windows Server. Selon une étude de l’ANSSI, plus de 68 % des organisations françaises ont signalé des incidents LPE en 2024, ce qui montre l’importance cruciale de maîtriser ce type de menace.

“When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location,” explique le chercheur.

“Microsoft has a customer commitment to investigate reported security issues and update impacted devices to protect customers as soon as possible,” déclare un porte-parole de Microsoft.

Impact et périmètre de la faille

Systèmes affectés

  • Windows 10 : version 22H2 et ultérieures.
  • Windows 11 : version 22H2 et ultérieures.
  • Windows Server : 2019, 2022 et versions ultérieures.

Conséquences concrètes

  1. Escalade immédiate des privilèges de l’utilisateur standard à SYSTEM.
  2. Écriture de fichiers critiques (ex. TieringEngineService.exe) dans le répertoire C:\Windows\system32.
  3. Exécution automatisée du code malveillant via le service Cloud Files Infrastructure.
  4. Contournement des mécanismes de protection même après installation des correctifs de sécurité les plus récents.

Selon le rapport de Tharros (mai 2026), le PoC a fonctionné sur plus de 95 % des machines testées, ce qui illustre la gravité du problème.

Technique d’exploitation détaillée

Chaîne d’attaque en cinq étapes

  1. Création d’un fichier EICAR à l’aide de l’API Cloud Files.
  2. Déclenchement d’un oplock pour gagner une course de copie d’ombre de volume (Volume Shadow Copy).
  3. Mise en place d’un point de jonction (junction) / reparse point afin de rediriger la réécriture du fichier vers C:\Windows\system32\TieringEngineService.exe.
  4. Injection du code malveillant (exécutable RedSun.exe) dans le fichier cible.
  5. Lancement automatique du service modifié par l’infrastructure Cloud Files, s’exécutant alors avec les droits SYSTEM.

“The PoC abuses this behaviour to overwrite system files and gain administrative privileges,” résume le chercheur.

Exemple de script PowerShell (bloc de code)

# Vérifier la présence d’un fichier suspect créé via Cloud Files API
Get-ChildItem -Path 'C:\Windows\System32' -Filter 'TieringEngineService.exe' -ErrorAction SilentlyContinue |
    ForEach-Object {
        $hash = Get-FileHash $_.FullName -Algorithm SHA256
        if ($hash.Hash -ne 'EXPECTED_HASH_VALUE') {
            Write-Warning "Fichier potentiellement compromis détecté : $($_.FullName)"
        }
    }

Ce script permet de repérer rapidement une version altérée du binaire ciblé.

Réponse de Microsoft et état des correctifs

Microsoft a publié un correctif le 12 avril 2026 dans le cadre du Patch Tuesday. Patch Tuesday d’avril 2026 – détails des correctifs Le correctif neutralise le comportement de réécriture du fichier et désactive l’usage abusif de l’API Cloud Files lorsqu’un tag cloud est détecté. Malgré cela, les équipes de sécurité signalent que des variantes légèrement modifiées du PoC peuvent encore contourner le correctif, notamment en exploitant des reparse points alternatifs.

Nom de la failleCVEImpact principalPatch disponible
RedSunN/AEscalade à SYSTEMOui (Apr 2026)
BlueHammerCVE-2026-33825Escalade à SYSTEMOui (Mar 2026)

Mesures de mitigation pour les administrateurs

Liste de contrôle immédiate (bullet points)

  • Désactiver temporairement la protection en temps réel de Microsoft Defender sur les machines critiques.
  • Appliquer les derniers correctifs via WSUS ou Microsoft Endpoint Configuration Manager.
  • Surveiller les journaux Microsoft-Windows-FileHistory/Operational à la recherche d’événements liés aux réécritures de fichiers system32.
  • Déployer une règle de détection dans votre SIEM pour l’empreinte du fichier TieringEngineService.exe modifié.
  • Éduquer les équipes sur les risques liés aux tags cloud et aux fichiers EICAR. Rôle et compétences d’un administrateur cybersécurité

Étapes de mitigation (numérotées)

  1. Isoler immédiatement les hôtes suspectés du réseau.
  2. Analyser les fichiers système avec l’outil de vérification d’intégrité de Windows (sfc /scannow).
  3. Restaurer les binaires affectés à partir d’une image connue saine.
  4. Déployer des politiques de groupe (GPO) désactivant les réécritures de fichiers via le Cloud Files API.
  5. Valider la couverture des agents AV tiers (ex. CrowdStrike, SentinelOne) qui détectent le PoC grâce à l’EICAR intégré.

Guide de détection et de réponse (SOC)

Indicateurs de compromission (IoC) - tableau

IoCDescription
TieringEngineService.exe au hash inconnuBinaire système remplacé par le PoC RedSun
Oplock / ShadowCopy spikesActivité inhabituelle du service Volume Shadow Copy
Cloud Files API call avec extension .eicarCréation suspecte de fichier test antivirus
Junction point targeting C:\Windows\System32Utilisation de reparse points malveillants

Processus de réponse recommandé

  • Collecte des artefacts (%TEMP%, C:\Windows\System32).
  • Analyse en sandbox du fichier suspect.
  • Mise en quarantaine du binaire modifié via l’outil d’AV.
  • Rétablissement de la configuration d’origine du service TieringEngineService.
  • Communication avec le MSSP ou l’équipe Microsoft pour confirmer la version du patch appliquée.

Perspectives et bonnes pratiques à long terme

L’incident RedSun souligne la nécessité d’une defense en profondeur. Au-delà du patching, les organisations doivent renforcer la surveillance des API système rarement utilisées, comme Cloud Files. En 2025, le Centre de cyber-défense français (ANSSI) a recommandé d’adopter les stratégies suivantes :

  • Isolation des processus critiques via des conteneurs Windows.
  • Audits réguliers des privilèges et des droits d’accès aux répertoires système.
  • Programmation de tests de pénétration orientés LPE afin d’identifier les points faibles avant qu’ils ne soient exploités.
  • Intégration de la norme ISO 27001 pour formaliser la gestion des vulnérabilités critiques.

En pratique, l’expérience du terrain montre que les organisations qui combinent patch management, monitoring continu et formation du personnel réduisent de 73 % le risque d’exploitation d’un zero-day similaire (source : ENISA 2025).

Conclusion - Prochaine action

Face à la menace que représente Microsoft Defender RedSun, il convient de déployer immédiatement les correctifs d’avril 2026, de vérifier l’intégrité des fichiers système, et d’institutionnaliser une veille sur les API peu courantes comme le Cloud Files. En adoptant ces mesures, vous protégez non seulement vos postes de travail, mais vous renforcez également la résilience globale de votre environnement Windows.