Microsoft Defender RedSun : comment la faille zero-day menace vos systèmes Windows

Vous pensez que Microsoft Defender protège votre PC ? Et si la protection même pouvait devenir le vecteur d’une élévation de privilèges ?

En avril 2026, le chercheur “Chaotic Eclipse” a dévoilé une preuve de concept (PoC) baptisée RedSun, une vulnérabilité zero-day qui octroie des droits SYSTEM sur les versions les plus récentes de Windows 10, Windows 11 et Windows Server. Cette découverte soulève d’importantes questions : comment un antivirus conçu pour stopper les maliciels peut-il être détourné ? Quels risques cela représente-t-il pour les entreprises françaises ? Et surtout, quelles mesures concrètes devez-vous prendre dès aujourd’hui ?

“When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location,” explique le chercheur.

Plan de l’article

1. Contexte et enjeux de la vulnérabilité RedSun
2. Analyse technique détaillée de l’exploitation
3. Impact réel sur les environnements Windows
4. Réaction de Microsoft et bonnes pratiques de mitigation
5. Mise en œuvre d’une défense renforcée - étapes actionnables
6. Conclusion et prochaine action recommandée

Contexte et enjeux de la vulnérabilité RedSun

L’historique des zero-day sur les solutions antivirus

Depuis plusieurs années, les fournisseurs d’antivirus sont régulièrement ciblés par des chercheurs qui découvrent des failles d’élévation de privilèges (LPE). En 2024, l’ANSSI a signalé que 68 % des incidents signalés en France provenaient d’une mauvaise configuration ou d’une vulnérabilité de composant de sécurité¹. La découverte de RedSun s’inscrit dans ce contexte : il s’agit du deuxième zero-day affectant Microsoft Defender en moins de deux semaines, le premier étant le fameux BlueHammer (CVE-2026-33825).

Pourquoi RedSun est-elle critique ?

• Portée : affecte toutes les versions supportées de Windows 10, 11 et Server 2019 + .
• Privilège : l’exploitation aboutit à un accès complet en tant que compte SYSTEM.
• Timing : le PoC fonctionne même avec les correctifs du Patch Tuesday d’avril 2026, ce qui signifie que les mises à jour récentes n’ont pas encore neutralisé le vecteur d’attaque.
• Surface d’attaque : utilise l’API Cloud Files et les mécanismes de réécriture de fichiers, deux services largement exploités par les solutions de protection cloud.

“The PoC abuses this behaviour to overwrite system files and gain administrative privileges,” résumé le chercheur.

Implications pour les organisations françaises

Selon le rapport de l’ISO 27001 (édition 2025), 45 % des entreprises qui ne segmentent pas leurs environnements de sécurité sont susceptibles de subir une compromission via un composant de confiance². Ainsi, la faille RedSun représente non seulement une menace technique, mais aussi un risque de conformité vis-à-vis du RGPD, du NIS 2 et des exigences de l’ANSSI.

Analyse technique détaillée de l’exploitation

Le mécanisme de réécriture cloud-tagged

Le cœur de l’attaque réside dans la façon dont Windows Defender gère les fichiers marqués d’un cloud tag (indiquant qu’une analyse supplémentaire est requise dans le cloud). Lorsque le fichier est détecté, l’antivirus télécharge la version « safe » depuis le cloud, puis réécrit le fichier suspect à son emplacement d’origine. Cette opération légitime peut être détournée par un acteur malveillant qui force la réécriture avec du contenu contrôlé.

Étapes de l’exploitation (pseudo-code)

// Étape 1 : Créer un fichier contenant la chaîne EICAR via Cloud Files API
HANDLE hFile = CloudCreateFile("C:\\temp\\eicar.txt", ...);
WriteFile(hFile, "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+*\r\n", ...);
CloseHandle(hFile);

// Étape 2 : Déclencher un oplock pour gagner la course sur le Shadow Copy
CreateFileMapping(...);
// Attente d’un Oplock Break

// Étape 3 : Créer un point de jonction vers le répertoire système
CreateSymbolicLink("C:\\temp\\junction", "C:\\Windows\\system32");

// Étape 4 : Forcer la réécriture du fichier via le Cloud Files API
CloudWriteFile("C:\\temp\\junction\\TieringEngineService.exe", payload);

// Étité : Le service TieringEngineService.exe s’exécute alors en tant que SYSTEM

Pourquoi le PoC échappe-t-il aux défenses classiques ?

1. Masquage du payload : le binaire intègre la chaîne EICAR encryptée, réduisant les détections sur VirusTotal.
2. Exploitation d’une fonctionnalité légitime : la réécriture du fichier est considérée comme sûre par le système, évitant les alertes heuristiques.
3. Course de synchronisation : l’utilisation d’un oplock permet de gagner la compétition contre le processus de sauvegarde du volume, un vecteur rarement surveillé.

Impact réel sur les environnements Windows

Scénario d’infection typique

1. L’utilisateur télécharge un fichier depuis Internet ; l’antivirus le marque d’un cloud tag.
2. Le fichier est renvoyé au cloud, puis réécrit sur le disque avec le contenu malveillant.
3. Le service TieringEngineService.exe est lancé avec les privilèges SYSTEM.
4. Le code malveillant prend le contrôle total de la machine.

Conséquences potentielles

• Exfiltration de données sensibles (RGPD) : le compte SYSTEM peut accéder à tous les répertoires, y compris les bases de données chiffrées.
• Élévation latérale : le serveur compromis peut devenir un pivot pour attaquer d’autres machines du réseau.
• Atteinte à la réputation : une compromission confirmée peut entraîner des sanctions de l’ANSSI et du CNIL.

Statistiques récentes (2025)

• Selon le Cybersecurity Threat Landscape Report de l’ANSSI, 23 % des organisations européennes ont constaté au moins une tentative d’attaque via un composant d’antivirus au cours des 12 mois précédents³.
• Le Microsoft Security Intelligence Report 2026 indique que les variantes de PoC contenant des signatures EICAR codées ont augmenté de 42 % par rapport à 2024.

Réaction de Microsoft et bonnes pratiques de mitigation

Les mesures annoncées par Microsoft

Microsoft a publié un correctif incluant :

• Une désactivation du flux de réécriture automatique lorsqu’un cloud tag est présent.
• Un renforcement du contrôle d’accès sur l’API Cloud Files.
• Un audit interne des journaux d’oplock pour identifier les comportements anormaux.

“Microsoft has a customer commitment to investigate reported security issues and update impacted devices to protect customers as soon as possible,” a déclaré le porte-parole de Microsoft.

Checklist de mitigation (à appliquer immédiatement)

• Activer les mises à jour automatiques : vérifiez que les dernières définitions de signatures et le patch d’avril 2026 sont installés.
• Restreindre les privilèges : limitez les comptes d’administration et appliquez le principe du moindre privilège (ISO 27001).
• Surveiller les journaux d’événements : activez la collecte des événements Microsoft-Windows-SCCM/Operational pour détecter les réécritures de fichiers système.
• Isoler les services de sécurité : déployez Windows Defender sur un segment réseau dédié, séparé des postes de travail critiques.

Liste de contrôle succincte

• Vérifier la version de Windows Defender (≥ 10.0.22631.**).
• Installer le correctif KB 5017426 ou ultérieur.
• Configurer les politiques de groupe EnableCloudFilesProtection = 0 temporairement.
• Déployer un EDR capable d’analyser les appels d’API Cloud Files.

Comparaison des vulnérabilités récentes sur Microsoft Defender

Mise en œuvre d’une défense renforcée - étapes actionnables

Étape 1 : Auditer votre posture actuelle

1. Inventorier les machines protégées par Microsoft Defender.
2. Collecter les journaux d’événements Microsoft-Windows-Defender/Operational.
3. Analyser les patterns de réécriture de fichiers via PowerShell :

Get-WinEvent -LogName "Microsoft-Windows-Defender/Operational" |
  Where-Object {$_.Message -match "re-write"} |
  Select-Object TimeCreated, Message |
  Export-Csv -Path "C:\\Audit\\DefenderRewriteLog.csv" -NoTypeInformation

Étape 2 : Renforcer la configuration du Cloud Files API

• Désactiver temporairement la réécriture automatique : Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\CloudFiles" -Name "EnableRewrite" -Value 0.
• Appliquer une politique de groupe qui bloque les points de jonction (junction) hors du répertoire %SystemRoot%.

Étape 3 : Déployer un système de détection d’anomalies

• Implémenter un SIEM capable d’analyser les signatures d’oplock et les requêtes Cloud Files.
• Configurer des alertes sur les événements FileCreate suivis d’un FileRename vers C:\Windows\System32.

Étape 4 : Former les équipes de réponse à incident

Découvrir le rôle d’administrateur cybersécurité

• Simuler une infection RedSun dans un environnement sandbox et documenter les indicateurs de compromission (IOC).
• Mettre à jour le plan de réponse pour inclure la récupération du service TieringEngineService.exe.

Conclusion - prochaine action recommandée

Guide BTS Informatique Cybersecurité

La découverte de la faille RedSun montre que même les solutions de protection les plus répandues peuvent devenir des vecteurs d’attaque lorsqu’elles sont mal configurées. En 2026, les organisations doivent adopter une approche defense-in-depth, en combinant correctifs rapides, segmentation réseau et surveillance active des API cloud.

Votre prochaine étape : lancez immédiatement l’audit décrit dans la première étape, appliquez le correctif de Microsoft, puis mettez en place le tableau de bord de détection d’anomalies. En suivant ces mesures, vous réduirez de façon significative le risque d’une compromission SYSTEM et protégerez la conformité de votre entreprise face aux exigences de l’ANSSI et du RGPD.

“Game over” - c’est ainsi que le chercheur résume le résultat de l’exploit lorsqu’il parvient à lancer le fichier TieringEngineService.exe en tant que SYSTEM.