### RedSun: Ein neuer Defender Zero-Day Der Exploit mit dem Codenamen „RedSun“ betrifft **Windows 10**, **Windows 11** und **Windows Server** Systeme, selbst mit den neuesten Patch-Tuesday-Updates vom April. Er nutzt eine Schwachstelle aus, bei der **Windows Defender** beim Identifizieren einer Datei mit einem Cloud-Tag die Datei an ihren ursprünglichen Speicherort zurückschreibt, unabhängig von ihrer potenziellen Bösartigkeit. „Wenn Windows Defender aus irgendeinem dummen und urkomischen Grund feststellt, dass eine bösartige Datei ein Cloud-Tag hat, beschließt das Antivirenprogramm, das schützen soll, dass es eine gute Idee ist, die gefundene Datei einfach wieder an ihren ursprünglichen Speicherort zurückzuschreiben“, [erklärt der Forscher](https://github.com/Nightmare-Eclipse/RedSun). Der Proof-of-Concept (PoC) missbraucht dieses Verhalten, um Systemdateien zu überschreiben, was letztendlich zu administrativen Rechten führt. ### Exploit bestätigt Will Dormann, Principal Vulnerability Analyst bei Tharros, hat die Funktionalität des Exploits bestätigt. Er gewährt erfolgreich SYSTEM-Rechte auf vollständig gepatchten Systemen von **Windows 10**, **Windows 11** und **Windows Server 2019** und neuer. „Dieser Exploit verwendet die ‚Cloud Files API‘, schreibt EICAR mit dieser in eine Datei, nutzt einen Oplock, um ein Wettrennen bei Volume Shadow Copy zu gewinnen, und verwendet eine Directory Junction/Reparse Point, um das Zurückschreiben der Datei (mit neuem Inhalt) auf C:\Windows\system32\TieringEngineService.exe umzuleiten“, erklärte Dormann in einem [Thread auf Mastodon](https://infosec.exchange/@wdormann/116412019416916182). „Zu diesem Zeitpunkt führt die Cloud Files Infrastructure den vom Angreifer platzierten TieringEngineService.exe (der selbst der RedSun.exe Exploit ist) als SYSTEM aus. Game over.“  *RedSun Exploit gewährt SYSTEM-Rechte in einem vollständig gepatchten Windows 11. Quelle: Dormann* Einige Antiviren-Anbieter auf **VirusTotal** erkennen den Exploit, da die ausführbare Datei eine eingebettete EICAR-Datei (Antivirus-Testdatei) enthält. Der Forscher reduzierte jedoch die Erkennungen, indem er die EICAR-Zeichenkette innerhalb der ausführbaren Datei verschlüsselte. Eine detailliertere [technische Ausarbeitung](https://nefariousplan.com/posts/redsun-windows-defender-system-write/) zu dieser Schwachstelle wurde vom Sicherheitsforscher Kevlar geteilt. ### Echos von BlueHammer Diese Veröffentlichung folgt auf die frühere Veröffentlichung eines Exploits durch den Forscher für eine weitere **Microsoft Defender** LPE Zero-Day-Schwachstelle namens „BlueHammer“, die nun als **CVE-2026-33825** verfolgt wird. **Microsoft** hat diese Schwachstelle in den jüngsten Patch-Tuesday-Updates behoben. ### Protest des Forschers Der Forscher erklärt, dass die Veröffentlichung dieser Zero-Day PoCs eine Form des Protests gegen **Microsofts** Umgang mit Cybersicherheitsforschern und der Offenlegung von Schwachstellen gegenüber dem **Microsoft Security Response Center (MSRC)** ist. „Normalerweise würde ich den Prozess durchlaufen, sie anzuflehen, einen Bug zu beheben, aber um es zusammenzufassen: Mir wurde persönlich von ihnen gesagt, dass sie mein Leben ruinieren würden, und das taten sie auch. Ich bin mir nicht sicher, ob ich der Einzige war, der diese schreckliche Erfahrung gemacht hat, oder ob es nur wenige waren, aber ich denke, die meisten würden es einfach hinnehmen und ihre Verluste abschreiben. Aber für mich haben sie mir alles genommen“, [behauptet der Forscher](https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html). ### Microsofts Reaktion Als **Microsoft** zu diesen angeblichen Problemen kontaktiert wurde, gab das Unternehmen folgende Erklärung ab: „Microsoft hat die Verpflichtung gegenüber Kunden, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu aktualisieren, um Kunden zu schützen“, sagte ein **Microsoft**-Sprecher gegenüber BleepingComputer. „Wir unterstützen auch die koordinierte Offenlegung von Schwachstellen, eine weit verbreitete Industriepraxis, die sicherstellt, dass Probleme sorgfältig untersucht und behoben werden, bevor sie öffentlich gemacht werden, und die sowohl den Kundenschutz als auch die Sicherheitsforschungsgemeinschaft unterstützt.“