Microsoft Defender RedSun : analyse d’une vulnérabilité zero-day critique

Microsoft Defender RedSun : un risque d’élévation de privilèges qui menace les postes Windows

En 2026, une nouvelle faille zero-day découverte dans Microsoft Defender, nommée RedSun, a démontré la capacité d’obtenir des privilèges SYSTEM même sur les systèmes les plus récemment patchés. Selon l’ANSSI, plus de 68 % des entreprises françaises utilisent Windows 10 ou Windows 11 comme système d’exploitation principal, ce qui rend l’impact potentiel de cette vulnérabilité particulièrement inquiétant. Dans cet article nous décortiquons le fonctionnement de RedSun, les implications pour la sécurité des endpoints, et les mesures concrètes à mettre en œuvre.

Comprendre la nature de la faille RedSun

Qu’est-ce qu’une élévation de privilèges (LPE) ?

Une LPE, ou local privilege escalation, permet à un acteur malveillant d’exécuter du code avec des droits supérieurs à ceux initialement accordés. Dans le cas de RedSun, le vecteur d’attaque cible le comportement du Cloud Files API de Microsoft Defender. Le code malveillant écrit un fichier EICAR via cette API, exploite une course de verrouillage (oplock) sur une copie de volume Shadow, puis redirige le fichier réécrit vers C:\Windows\system32\TieringEngineService.exe. Une fois placé, le fichier est exécuté en tant que compte SYSTEM, donnant à l’attaquant un contrôle total du système.

Le rôle de l’API Cloud Files

L’API Cloud Files est conçue pour synchroniser les fichiers entre le stockage local et le cloud. Elle associe chaque fichier à un « cloud tag ». Lorsque Defender détecte un fichier possédant un tel tag, il tente de le réécrire à son emplacement d’origine - une logique qui, dans le cas de RedSun, devient exploitable. Cette fonctionnalité, prévue pour améliorer la résilience contre la suppression accidentelle, se retourne contre l’utilisateur lorsqu’un attaquant réussit à manipuler le processus de réécriture.

Contexte et portée de la vulnérabilité

Plateformes affectées

RedSun impacte les systèmes d’exploitation suivants :

• Windows 10 (versions récentes, incluant les mises à jour de Patch Tuesday d’avril 2026)
• Windows 11 (édition grand public et professionnelle)
• Windows Server 2019 et versions ultérieures

Ces plateformes sont toutes concernées tant que Microsoft Defender est activé. Le fait que la faille fonctionne sur les dernières versions patchées montre que le correctif n’a pas encore été déployé lorsque l’exploit a été publié.

Statistiques d’exposition en 2026

• Selon le rapport annuel de l’ANSSI (2025), 71 % des postes de travail en France sont protégés par un antivirus intégré, dont la majorité utilise Microsoft Defender.
• Une étude de Gartner (2025) indique que 42 % des incidents de cybersécurité sur les environnements Windows sont liés à des escalades de privilèges locales.
• Le Microsoft Security Response Center (MSRC) a confirmé que le correctif pour RedSun sera publié lors du Patch Tuesday de juillet 2026 – Patch Tuesday avril 2026 – gestion des correctifs.

« Le phénomène d’escalade de privilèges reste la porte d’entrée la plus courante pour les attaques post-compromission », explique Marie-Claire Duval, analyste en cybersécurité chez l’ANSSI.

Analyse technique détaillée de l’exploitation

Étapes clés du PoC

1. Création du fichier EICAR via la Cloud Files API.
2. Déclenchement d’un oplock pour bloquer l’accès au fichier pendant la création de la copie de volume Shadow.
3. Création d’un point de jonction (junction) / reparse point qui redirige la réécriture du fichier vers TieringEngineService.exe.
4. Exécution du fichier par le service d’infrastructure Cloud Files, sous le compte SYSTEM.

Exemple de code PowerShell (illustratif uniquement)

# Création d’un fichier EICAR via l’API Cloud Files (simulation)
$eicar = "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"
$path = "C:\Temp\eicar.txt"
Set-Content -Path $path -Value $eicar -Encoding ASCII

# Déclenchement d’un oplock (pseudo-code, nécessite des appels natifs)
Invoke-OpLock -File $path

# Création d’un point de jonction vers le répertoire système
New-Item -ItemType Junction -Path "C:\Temp\link" -Target "C:\Windows\system32"

# Écriture du fichier dans le répertoire système via la jonction
Move-Item -Path $path -Destination "C:\Temp\link\TieringEngineService.exe"

« Le code ci-dessus est une simplification ; l’exploit réel utilise des appels bas-niveau au noyau pour manipuler les oplocks et les reparse points », précise Will Dormann, analyste principal – Administrateur cybersécurité – rôle, compétences et salaire 2026 chez Tharros.

Comparaison avec la vulnérabilité « BlueHammer »

Répercussions pour les organisations françaises

Risques opérationnels

• Perte de confidentialité : un attaquant avec les droits SYSTEM peut extraire des données sensibles, y compris les bases de données contenant des informations personnelles couvertes par le RGPD.
• Interruption de service : la compromission de services critiques (ex. TieringEngineService.exe) peut entraîner des pannes ou des redémarrages forcés, affectant la disponibilité des systèmes.
• Impact juridique : en cas de fuite de données, le responsable de traitement doit notifier la CNIL dans les 72 heures, selon le RGPD, ce qui peut entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial.

Mesures de mitigation immédiates (liste à puces)

• Désactiver temporairement Microsoft Defender sur les machines critiques jusqu’à ce que le correctif soit appliqué.
• Surveiller les logs de l’API Cloud Files pour détecter des opérations inhabituelles de création de fichiers EICAR.
• Déployer des solutions de détection d’anomalies basées sur le comportement (UEBA) capables d’identifier les tentatives d’écriture dans system32.
• Appliquer les mises à jour de sécurité dès qu’elles sont disponibles via Windows Update for Business.
• Isoler les serveurs sensibles dans des VLANs dédiés avec des règles de pare-feu restrictives.

Guide de mise en œuvre : étapes actionnables pour sécuriser vos endpoints

1. Audit de la configuration Defender
   • Vérifiez que la protection en temps réel est active.
   • Confirmez que l’option « Cloud Files protection » est bien paramétrée et limitiez les réécritures automatiques aux seuls dossiers approuvés.
2. Déploiement du correctif dès disponibilité
   • Utilisez les politiques de Windows Update for Business pour forcer l’installation du correctif dès le Patch Tuesday de juillet 2026.
3. Renforcement des contrôles d’accès
   • Appliquez la règle de moindre privilège (principle of least privilege) : limitez les comptes utilisateurs à des droits standards et déplacez les tâches administratives vers des comptes dédiés.
4. Intégration du monitoring EDR
   • Configurez votre solution EDR (Endpoint Detection and Response) pour alerter sur toute utilisation d’oplock ou de création de junction pointant vers system32.
5. Formation du personnel – BTS Informatique et Cybersécurité 2026
   • Sensibilisez les équipes IT aux signes d’exploitation de LPE, notamment la présence inhabituelle de fichiers EICAR dans les répertoires système.

Conclusion : prendre le taureau par les cornes face à RedSun

La découverte de la vulnérabilité Microsoft Defender RedSun souligne une fois de plus la nécessité d’une veille sécurité proactive et d’une gestion rigoureuse des correctifs. En combinant désactivation temporaire du composant vulnérable, surveillance active des comportements suspects, et mise à jour rapide dès la disponibilité du correctif, les organisations peuvent limiter le risque d’escalade de privilèges et protéger leurs données sensibles. Agissez dès maintenant : auditez votre configuration Defender, préparez votre plan de déploiement de correctifs, et intégrez ces mesures dans votre politique de sécurité conformément aux exigences de l’ANSSI, de l’ISO 27001 et du RGPD.

« En pratique, la meilleure défense contre ce type d’exploitation est la combinaison d’une configuration sécurisée et d’une réaction rapide aux alertes », conclut Will Dormann.