### RedSun : Un nouveau zero-day de Defender L'exploit, baptisé "RedSun", affecte les systèmes **Windows 10**, **Windows 11** et **Windows Server**, même avec les dernières mises à jour de Patch Tuesday d'avril installées. Il exploite une faille où **Windows Defender**, lors de l'identification d'un fichier avec un tag cloud, réécrit le fichier à son emplacement d'origine, quelle que soit sa potentielle malveillance. "Lorsque Windows Defender réalise qu'un fichier malveillant a un tag cloud, pour une raison stupide et hilarante, l'antivirus censé protéger décide que c'est une bonne idée de simplement réécrire le fichier qu'il a trouvé à nouveau à son emplacement d'origine", [explique le chercheur](https://github.com/Nightmare-Eclipse/RedSun). Le proof-of-concept (PoC) abuse de ce comportement pour écraser des fichiers système, conduisant finalement à des privilèges administratifs. ### Exploit confirmé Will Dormann, analyste principal des vulnérabilités chez Tharros, a vérifié la fonctionnalité de l'exploit. Il accorde avec succès des privilèges SYSTEM sur des systèmes **Windows 10**, **Windows 11** et **Windows Server 2019** et ultérieurs entièrement patchés. "Cet exploit utilise l'API 'Cloud Files', écrit EICAR dans un fichier en l'utilisant, utilise un oplock pour gagner une course de copie de volume shadow, et utilise une jonction de répertoire/point de réanalyse pour rediriger la réécriture du fichier (avec un nouveau contenu) vers C:\Windows\system32\TieringEngineService.exe", a expliqué Dormann dans un [fil sur Mastodon](https://infosec.exchange/@wdormann/116412019416916182). "À ce stade, l'infrastructure Cloud Files exécute l'exécutable TieringEngineService.exe planté par l'attaquant (qui est l'exploit RedSun.exe lui-même) en tant que SYSTEM. Partie terminée."  *Exploit RedSun accordant des privilèges SYSTEM dans un Windows 11 entièrement patché. Source : Dormann* Certains fournisseurs antivirus sur **VirusTotal** détectent l'exploit car l'exécutable contient un EICAR intégré (fichier de test antivirus). Cependant, le chercheur a réduit les détections en chiffrant la chaîne EICAR dans l'exécutable. Une [analyse technique](https://nefariousplan.com/posts/redsun-windows-defender-system-write/) plus détaillée de cette vulnérabilité a été partagée par le chercheur en sécurité Kevlar. ### Échos de BlueHammer Cette publication fait suite à la publication précédente par le chercheur d'un exploit pour un autre zero-day LPE de **Microsoft Defender**, baptisé "BlueHammer", désormais suivi sous **CVE-2026-33825**. **Microsoft** a corrigé cette faille dans les récentes mises à jour de Patch Tuesday. ### Protestation du chercheur Le chercheur affirme que la publication de ces PoC zero-day est une forme de protestation contre la manière dont **Microsoft** traite les chercheurs en cybersécurité et les divulgations de vulnérabilités au **Microsoft Security Response Center (MSRC)**. "Normalement, j'aurais suivi le processus de les supplier de corriger un bug, mais pour résumer, on m'a dit personnellement par eux qu'ils ruineraient ma vie et ils l'ont fait, et je ne suis pas sûr si j'étais le seul à avoir eu cette expérience horrible ou si peu de gens l'ont eue, mais je pense que la plupart se contenteraient de l'accepter et de limiter leurs pertes, mais pour moi, ils m'ont tout enlevé", [a allégué le chercheur](https://deadeclipse666.blogspot.com/2026/04/public-disclosure-response-for-cve-2026.html). ### Réponse de Microsoft Contacté au sujet de ces problèmes allégués, **Microsoft** a fourni la déclaration suivante : "Microsoft s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils impactés pour protéger les clients dès que possible", a déclaré un porte-parole de **Microsoft** à BleepingComputer. "Nous soutenons également la divulgation coordonnée des vulnérabilités, une pratique largement adoptée dans l'industrie qui contribue à garantir que les problèmes sont soigneusement étudiés et résolus avant la divulgation publique, soutenant ainsi la protection des clients et la communauté de recherche en sécurité."