Un chercheur connu sous le pseudonyme « Nightmare-Eclipse » vient de publier un PoC fonctionnel pour une seconde vulnérabilité Local Privilege Escalation dans Microsoft Defender, baptisée RedSun — quelques jours seulement après BlueHammer (CVE-2026-33825).

Mécanisme technique

RedSun exploite un comportement logique du moteur de remédiation de Defender : lorsqu'il détecte un fichier portant un cloud tag, au lieu de le mettre en quarantaine, il le réécrit à son emplacement d'origine avec des privilèges SYSTEM.

Chaîne d'exploitation

1 Création d'un fichier EICAR via la Windows Cloud Files API (cldapi.dll)
2 Utilisation d'un opportunistic lock (oplock) pour suspendre l'opération de restauration de Defender mid-flight
3 Redirection du chemin cible via NTFS junctions / reparse points vers C:\Windows\System32
4 Defender reprend l'opération et écrase un binaire système (ex : TieringEngineService.exe) avec des privilèges SYSTEM
5 Exécution du binaire remplacé → NT AUTHORITY\SYSTEM

Impact

CVSS

7.8 — High

CVE

CVE-2026-33825

CWE

CWE-1220

MITRE ATT&CK

TA0004 — LPE

Fiabilité PoC

100%

Patch disponible

Aucun

Affecte Windows 10, Windows 11 et Windows Server 2019+ avec Defender activé — même après le Patch Tuesday d'avril 2026. Fiabilité du PoC confirmée à 100 % par les tests indépendants de Will Dormann et Tharros.

Exploitation active

Le Huntress SOC observe déjà une exploitation active combinant une triade redoutable :

BlueHammer + RedSun + UnDefend

Cette triade permet de chaîner LPE, dégradation de protection et maintien d'accès persistant sur les systèmes ciblés.

Mitigations immédiates

# Vérifier la version du moteur Defender
Get-MpComputerStatus | Select-Object AMProductVersion

# Version patchée attendue : 4.18.26050.3011 ou supérieure

# Désactiver temporairement la cloud protection sur systèmes critiques isolés
Set-MpPreference -DisableCloudProtection $true

En attendant un patch officiel :

  • Désactiver la Cloud-Delivered Protection sur les assets critiques isolés
  • Monitorer les opérations de write de cldapi.dll vers C:\Windows\System32
  • Implémenter des règles EDR pour détecter les oplock-assisted file redirections
  • Appliquer le principe du moindre privilège — RedSun nécessite un accès local initial
  • Activer Credential Guard pour limiter le post-exploitation

Pour ceux qui ne sont pas dans la technique

Analogie

Imaginez que votre Windows Defender est chargé de surveiller l'entrée d'un bâtiment. Quand il repère un individu suspect portant un badge "cloud", au lieu de le raccompagner dehors, il le ramène lui-même à l'intérieur et lui ouvre les portes en utilisant son propre trousseau de clés.

RedSun exploite exactement ce comportement : un attaquant déjà entré dans le bâtiment par une petite porte de service peut tromper le vigile pour qu'il lui remette les clés maîtresses de tout l'immeuble, sans que personne ne lève le petit doigt.

Résultat : depuis un compte utilisateur lambda, sans aucun droit particulier, un attaquant peut prendre le contrôle total de la machine en quelques secondes. Et aujourd'hui, il n'existe aucun correctif officiel.

Action requise

Le code pour reproduire l'attaque est publié sur Internet, accessible à n'importe qui. Si vous êtes DSI, responsable IT ou simplement utilisateur d'un poste Windows en entreprise : parlez-en à votre équipe sécurité dès maintenant.

Contexte

La publication de ce PoC non coordonné fait suite à des tensions entre le chercheur et le MSRC (Microsoft Security Response Center), accusé d'avoir ignoré les reports initiaux et attribué le crédit à d'autres chercheurs pour CVE-2026-33825. Une situation qui relance le débat autour de l'éthique de la divulgation et des bug bounty programs des grands éditeurs.

Patchez, monitorez, et isolez. Le code est public. Les attaquants ne chôment pas.

Sources

BleepingComputer Picus Security CyberSecurityNews