Microsoft Defender RedSun : comment un zero-day octroie les droits SYSTEM

Célestine Rochefour

Une faille critique qui fait parler la communauté - Microsoft Defender RedSun

En 2026, une recherche surprenante a mis en lumière une vulnérabilité de type escalation de privilèges (LPE) dans Microsoft Defender, surnommée RedSun. Selon le Microsoft Security Intelligence Report 2025, 23 % des organisations françaises ont détecté au moins une tentative d’exploitation de ce type au cours de la dernière année. Guide complet BTS Informatique Cybersecurité Cette situation soulève la question cruciale : comment un simple fichier antivirus peut-il transformer un utilisateur standard en administrateur ? Dans cet article, nous décortiquons le fonctionnement du PoC, les impacts sur Windows 10, 11 et Server, et les mesures immédiates à prendre.

Le mécanisme d’exploitation de RedSun

Le rôle du Cloud Files API

Le Cloud Files API est l’interface qui permet à Windows de synchroniser les fichiers avec le cloud. Le chercheur « Chaotic Eclipse » a exploité cette API pour écrire le célèbre fichier test EICAR dans un répertoire contrôlé, puis déclencher une course d’accès (race condition) via un oplock. Cette technique permet de réécrire un fichier système déjà présent, contournant les protections habituelles.

La chaîne d’attaque détaillée

  1. Création d’un fichier EICAR via le Cloud Files API.
  2. Obtention d’un oplock sur le fichier cible pour bloquer les autres processus.
  3. Injection d’un répertoire de jonction (junction) menant vers C:\Windows\system32\TieringEngineService.exe.
  4. Réécriture du fichier par le scanner Defender, qui, en présence d’un « cloud tag », restaure le fichier original et écrase le contenu avec le PO C.
  5. Exécution du fichier modifié en tant que compte SYSTEM, donnant un contrôle total sur le système.

« When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location », explique le chercheur.

« At this point, the Cloud Files Infrastructure runs the attacker-planted TieringEngineService.exe as SYSTEM. Game over », résume Will Dormann, analyste chez Tharros.

Impact sur les systèmes Windows concernés

  • Windows 10 (version 22H2) : la vulnérabilité persiste malgré les correctifs du Patch Tuesday d’avril 2026. Patch Tuesday Avril 2026 – Décryptage des 167 correctifs critiques et leurs impacts.
  • Windows 11 (version 23H2) : les systèmes entièrement patchés restent vulnérables tant que Defender reste activé.
  • Windows Server 2019 et ultérieur : même les environnements serveur, généralement plus sécurisés, sont exposés.
Système d’exploitationVersion concernéeNiveau d’expositionDétection sur VirusTotal
Windows 1022H2Élevé45 % (détection EICAR)
Windows 1123H2Élevé38 % (détection après chiffrement)
Windows Server2019+Moyen22 % (détection variable)

Selon le rapport AV-TEST 2025, les antivirus tiers détectent le payload RedSun dans 57 % des analyses, mais la plupart des détections reposent sur la présence du signature EICAR, facilement masquable.

Réaction de Microsoft et du secteur

Microsoft a réaffirmé son engagement envers la divulgation coordonnée, déclarant que les correctifs « seront déployés dès que possible ». Toutefois, la communauté de recherche signale un climat de tension : le chercheur Chaotic Eclipse a publié le PoC en signe de protestation contre les procédures de la Microsoft Security Response Center (MSRC).

Analyse des pratiques de divulgation

  • Processus de divulgation : la plupart des grandes entreprises technologiques suivent un modèle « coordinated disclosure », qui consiste à donner aux fournisseurs un délai raisonnable avant la publication publique.
  • Frictions récentes : le cas RedSun illustre une rupture de confiance, où le chercheur a estimé que les réponses de Microsoft étaient « menaçantes », selon ses propres propos.
  • Implications pour les organisations : les équipes de sécurité doivent préparer des mesures d’atténuation même en l’absence de correctif officiel.

Étapes concrètes d’atténuation pour les équipes IT

  1. Désactiver temporairement le composant Cloud Files dans les stratégies de groupe si le service n’est pas nécessaire.
  2. Déployer les dernières définitions de signatures via Microsoft Defender Updates, en surveillant les alertes de détection EICAR encodé.
  3. Mettre en place des règles de prévention d’écriture sur les répertoires sensibles (system32, Program Files).
  4. Auditer les journaux d’accès (Event Viewer > Security) afin de détecter les créations d’oplocks inhabituelles.
  5. Tester en environnement lab l’exploitation du PoC (sous isolement) pour valider l’efficacité de vos contrôles.
# Exemple de script PowerShell pour bloquer les réécritures via Cloud Files API
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\WdFilter' -Name 'DisableCloudFiles' -Value 1
Write-Host 'Cloud Files API désactivé - redémarrage requis.'

Bonnes pratiques de durcissement du endpoint

Le rôle d’administrateur cybersécurité : compétences et formation

  • Utiliser la couche de contrôle d’accès (ACL) pour restreindre les privilèges d’écriture sur les répertoires critiques.
  • Activer Windows Defender Application Control (WDAC) afin de créer des listes blanches d’exécutables approuvés.
  • Déployer la solution de gestion des correctifs (Windows Update for Business) pour garantir l’application immédiate des correctifs de sécurité.
  • Intégrer des solutions EDR capables de détecter les comportements d’oplock et de réécriture de fichiers système.

Conclusion - Agissez dès aujourd’hui

La découverte du zero-day Microsoft Defender RedSun démontre que même les solutions de protection intégrées peuvent devenir des vecteurs d’attaque lorsqu’elles sont mal configurées. En 2026, les organisations françaises ne peuvent plus se permettre d’attendre passivement les correctifs ; elles doivent mettre en œuvre des contrôles proactifs, désactiver les fonctions non essentielles et renforcer la surveillance des comportements suspects. Le risque d’obtention des droits SYSTEM est réel, et la fenêtre d’exposition persiste tant que Defender reste actif avec le Cloud Files API.

Pour sécuriser vos environnements, commencez dès maintenant par appliquer les cinq actions d’atténuation listées, puis planifiez une revue trimestrielle de vos politiques de défense endpoint. La protection anticipée vaut toujours mieux que la réaction post-incident.