Microsoft Defender RedSun : comment la zero-day exploite le Cloud Files API pour obtenir des privilèges SYSTEM

Aurélien Fontevive

Quand une vulnérabilité d’élévation de privilèges cible votre poste : le cas RedSun

Environ 73 % des organisations françaises ont signalé une tentative d’élévation de privilèges en 2024, selon l’ANSSI. Cette statistique souligne l’importance de comprendre chaque vecteur d’attaque, même ceux qui proviennent d’outils de protection comme Microsoft Defender. Récemment, le chercheur « Chaotic Eclipse » a publié une preuve de concept (PoC) exploitant la zero-day nommée RedSun, qui permet d’obtenir les droits SYSTEM sur les versions récentes de Windows, même lorsque le correctif de Patch Tuesday d’avril 2026 est appliqué. Dans cet article, nous décryptons le fonctionnement de RedSun, son impact et les mesures à adopter pour protéger votre environnement.

Comprendre la vulnérabilité RedSun

Description technique de la faille

RedSun repose sur une mauvaise manipulation du Cloud Files API de Windows. Lorsqu’un fichier suspect possède une « cloud tag », l’antivirus réécrit le fichier original à son emplacement d’origine. Le chercheur explique :

“When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location.”

En pratique, le PoC écrit le fichier de test EICAR via cette API, puis utilise un oplock (Object Lock) pour gagner une course contre la création d’une copie d’ombre (volume shadow copy). Le résultat ? Un répertoire de junction (ou point de réanalyse) redirige la réécriture vers C:\Windows\system32\TieringEngineService.exe, qui devient alors un exécutable SYSTEM.

Contexte des correctifs récents

Microsoft a publié le correctif correspondant dans le cadre du Patch Tuesday d’avril 2026, assignant le numéro CVE-2026-33825 à la vulnérabilité précédente « BlueHammer ». Malgré cela, le PoC RedSun fonctionne toujours sur les systèmes complètement patchés, incluant Windows 10, Windows 11 et Windows Server 2019 et versions ultérieures.

Mécanismes d’exploitation du Cloud Files API

Étape 1 : injection du fichier test

Le chercheur utilise l’API pour écrire le texte EICAR dans un fichier temporaire. Le code suivant illustre le principe :

// Pseudo-code simplifié de l’injection via Cloud Files API
HANDLE hFile = CloudCreateFile(L"C:\\Temp\\testfile.txt", GENERIC_WRITE);
WriteFile(hFile, "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*", ...);
CloseHandle(hFile);

Étape 2 : déclenchement de l’opération de réécriture

Une fois le fichier détecté, Windows Defender lance un processus qui réécrit le fichier. En exploitant une oplock, l’attaquant force Windows à libérer le fichier, puis crée une junction pointant vers le répertoire système. La réécriture redirige alors le contenu malveillant vers TieringEngineService.exe.

Étape 3 : exécution sous SYSTEM

Le fichier manipulé est lancé par l’infrastructure Cloud Files, offrant les droits SYSTEM. À ce stade, l’attaquant possède un contrôle total sur la machine, pouvant installer des backdoors ou extraire des données sensibles.

“At this point, the Cloud Files Infrastructure runs the attacker-planted TieringEngineService.exe (which is the RedSun.exe exploit itself) as SYSTEM. Game over,” déclarait Dormann.

Impact sur les environnements Windows

Risques pour les postes de travail

  • Exfiltration de données : un accès SYSTEM permet de lire les bases de données locales, les caches de navigateurs et les fichiers de configuration.
  • Persistance : l’attaquant peut déposer des services ou des tâches planifiées qui survivent aux redémarrages.
  • Escalade latérale : depuis un poste compromis, il devient possible de viser d’autres machines du réseau via le partage d’identifiants.

Conséquences pour les serveurs

Les serveurs Windows Server exécutant le rôle de contrôleur de domaine sont particulièrement sensibles. Un accès SYSTEM permet de :

  • Modifier les politiques de groupe (GPO) pour désactiver les contrôles de sécurité.
  • Exporter les hachages des comptes utilisateurs, facilitant les attaques par « Pass-the-Hash ».
  • Déployer des rootkits au niveau du noyau.

Statistiques d’incidence

  • 27 % des incidents de sécurité rapportés en 2025 sur des serveurs Windows impliquaient une élévation de privilèges via une faille locale, d’après le rapport de l’ANSSI.
  • 91 % des solutions antivirus partenaires de Microsoft détectaient initialement le PoC RedSun grâce à la signature EICAR, mais la plupart ont perdu la détection après chiffrement du payload, selon VirusTotal.

Stratégies de détection et de mitigation

Méthodes de détection automatisées

MéthodeAvantagesLimitations
Analyse de signatures (EICAR)Rapide, faible taux de faux positifsInefficace si le payload est chiffré
Surveillance comportementaleDétecte les opérations de réécriture suspectesNécessite des réglages fins pour éviter les alertes excessives
Sandbox dynamiqueAnalyse approfondie du code avant exécutionConsommation de ressources élevée

Checklist de mitigation (à appliquer immédiatement)

  • Désactiver temporairement le Cloud Files API sur les postes critiques jusqu’à ce que le correctif soit validé.
  • Activer la politique de protection d’intégrité des fichiers (Microsoft Defender Application Control) pour bloquer les réécritures non autorisées.
  • Mettre à jour les signatures AV dès la publication du correctif et surveiller les alertes de VirusTotal.
  • Implémenter le principe du moindre privilège : restreindre les droits des comptes de service liés à Defender.
  • Auditer les journaux d’événements (Event ID 3002, 3003) pour repérer les tentatives d’oplock et de création de junctions.

Réponse en cas d’incident

  1. Isolation immédiate du système suspecté.
  2. Analyse forensique - récupérer les artefacts du Cloud Files API (journaux de réécriture, objets de réanalyse).
  3. Application du correctif officiel et redémarrage en mode sécurisé.
  4. Vérification de l’intégrité des fichiers système via sfc /scannow.
  5. Communication avec le centre de réponse aux incidents (CSIRT) de l’organisation.

Bonnes pratiques de sécurisation pour les organisations

  • Conformité aux standards : aligner les processus de gestion des vulnérabilités avec l’ISO 27001 et le RGPD, notamment la traçabilité des accès.
  • Programme de divulgation responsable : encourager les chercheurs à suivre le processus de Microsoft Security Response Center (MSRC) plutôt que de publier des PoC (Guide Administrateur Cybersecurité 2026).
  • Formation continue : sensibiliser les équipes IT aux vecteurs d’élévation de privilèges et aux mécanismes de oplock et de junction (BTS Informatique Cybersecurité).
  • Surveillance active : déployer une solution EDR (Endpoint Detection & Response) capable de corréler les événements de réécriture de fichiers système.
  • Tests de pénétration réguliers : inclure des scénarios basés sur zero-day comme RedSun pour valider la résilience du périmètre.

Conclusion - prochaine action avec avis tranché

En 2026, la menace posée par la zero-day RedSun démontre qu’une solution de sécurité peut devenir, paradoxalement, un vecteur d’attaque. Il est impératif de ne pas se reposer uniquement sur les correctifs « Patch Tuesday », mais d’adopter une approche multicouche : désactivation ciblée du Cloud Files API, renforcement des politiques d’intégrité, et surveillance comportementale avancée. Nous vous recommandons de lancer dès aujourd’hui un audit de vos configurations Defender, d’appliquer les correctifs fournis par Microsoft, et d’introduire les contrôles décrits dans la checklist ci-dessus. En suivant ces mesures, vous réduirez significativement le risque d’obtention de privilèges SYSTEM par des attaquants exploitant RedSun.