RedSun, c’est le nom de la nouvelle faille zero-day impactant Windows et plus particulièrement Microsoft Defender. Insatisfait des pratiques de Microsoft, un chercheur en sécurité a mis en ligne un code d’exploitation (PoC) pour cette nouvelle faille. Voici ce que l’on sait.
RedSun : quand Microsoft Defender accorde les droits SYSTEM
Un chercheur a mis en ligne un exploit permettant une élévation de privilèges en local (LPE). Cette faille affecte autant Windows 10, Windows 11 que Windows Server, y compris sur les machines avec les derniers correctifs du Patch Tuesday d’avril installés ! La seule condition : la solution de sécurité Windows Defender doit être activée, ce qui est le cas par défaut.
L’origine de ce problème de sécurité réside dans un comportement inattendu de l’antivirus de Microsoft lorsque le fichier à analyser a un tag faisant référence au Cloud. Le fichier nommé cldapi.dll serait en cause. D’ailleurs, voici les précisions apportées par le chercheur à propos de la faille RedSun :
“Quand Windows Defender se rend compte qu’un fichier malveillant possède un tag cloud, pour une raison aussi stupide qu’hilarante, l’antivirus censé protéger décide que c’est une bonne idée de simplement réécrire le fichier qu’il a trouvé à son emplacement d’origine.”. Lunaire, en effet.
Ainsi, son exploit PoC codé en C++ consiste à exploiter ce problème de sécurité pour écraser des fichiers systèmes et obtenir les privilèges d’administrateur.
“Je pense que les logiciels anti-malware sont censés supprimer les fichiers malveillants, et non pas simplement vérifier leur présence, mais ce n’est que mon avis.”, précise-t-il sur le dépôt GitHub de RedSun.
Will Dormann, analyste des vulnérabilités chez Tharros, a pris le temps de tester cet exploit PoC. Sur Mastodon, il affirme qu’il est fonctionnel et apporte des précisions sur le fonctionnement de cet exploit. Actuellement, le fichier RedSun.exe est détecté par les autres solutions de sécurité (voir sur VirusTotal) parce qu’il embarque EICAR (un fichier populaire utilisé pour tester les antivirus) afin de simuler l’action d’un logiciel malveillant.
L’image ci-dessous montre que cet exploit permet d’obtenir les privilèges SYSTEM sur une machine Windows, y compris avec les dernières mises à jour.
Source : Will Dormann
Après BlueHammer, RedSun
Il est important de noter que la publication de RedSun n’est pas un acte isolé. Il s’agit en réalité de la deuxième faille zero-day rendue publique par ce même chercheur en sécurité, en l’espace de deux semaines. En effet, son compte GitHub contient également le dépôt de la faille BlueHammer, un exploit pour une autre vulnérabilité de Microsoft Defender. Désormais, la faille BlueHammer est associée à la référence CVE-2026-33825 et Microsoft l’a corrigée via le Patch Tuesday d’avril 2026.
Si ce chercheur libère ces exploits dans la nature, c’est pour protester contre la manière dont le Microsoft Security Response Center (MSRC) traite les chercheurs en sécurité.
Voici ce que l’on peut lire sur le blog de ce chercheur : “Normalement, j’aurais dû passer par tout le processus consistant à les supplier de corriger un bug, mais pour résumer, ils m’ont dit en personne qu’ils allaient me gâcher la vie, et c’est ce qu’ils ont fait. Je ne sais pas si j’ai été le seul à vivre cette expérience horrible ou si d’autres personnes l’ont vécue aussi, mais je pense que la plupart se seraient contentés d’avaler la pilule et de limiter les dégâts ; quant à moi, ils m’ont tout pris. Ils se sont moqués de moi et ont utilisé toutes les manœuvres puériles possibles. C’était tellement grave qu’à un moment donné, je me suis demandé si j’avais affaire à une grande entreprise ou à quelqu’un qui prenait simplement plaisir à me voir souffrir, mais il semble que ce soit une décision collective.” – La situation est tendue.
Je ne serai pas surpris que Microsoft publie une mise à jour hors bande pour patcher la faille RedSun, en particulier si elle venait à être exploitée… À suivre.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.