Quelques jours après BlueHammer, le chercheur Chaotic Eclipse remet une pièce dans la machine avec RedSun, une faille zero-day affectant Microsoft Defender, capable d’ouvrir les droits SYSTEM sur des PC Windows pourtant à jour.
Une première publication pouvait encore passer pour un coup de pression. Deux en moins de quinze jours relèvent déjà du règlement de compte. Après BlueHammer, divulguée récemment puis corrigée lors du dernier Patch Tuesday, Chaotic Eclipse, également connu sous le pseudonyme de Nightmare Eclipse, a mis en ligne un nouvel exploit visant Microsoft Defender. Baptisée RedSun, cette faille zero-day d’élévation de privilèges locale permettrait d’obtenir les droits SYSTEM sur Windows 10, Windows 11 et Windows Server, y compris sur des machines à jour.
Quand l’antivirus déclenche lui-même l’attaque
D’après les explications fournies par le chercheur, RedSun exploite un défaut dans la façon dont Microsoft Defender traite des fichiers signalés via son infrastructure cloud. Au lieu de se borner à bloquer ou supprimer un fichier détecté comme malveillant, l’antivirus peut, pour une drôle de raison, en réécrire le contenu à l’endroit où il se trouvait déjà (par exemple dans le dossier Téléchargements).
Le PoC consiste alors à falsifier la cible de cette réécriture pour que le contenu du fichier malveillant ne soit plus écrit à son emplacement d’origine, mais ailleurs sur le disque, de façon à écraser un exécutable système légitime. Si bien que, lorsque Windows ou un service système le lance, ce binaire compromis exécute le code de l’attaquant, avec les droits SYSTEM.
Un procédé qui n’a rien d’un exercice de style, Will Dormann, analyste principal chez Tharros, ayant affirmé à BleepingComputer que l’exploit fonctionnait bien sur des versions à jour de Windows 10, Windows 11 et Windows Server 2019 ou plus récent. Pire encore, les équipes de sécurité d’Huntress ont confirmé avoir déjà observé des exploitations de RedSun dans des attaques bien réelles.
Une riposte qui dépasse le cadre de la recherche
Comme pour BlueHammer, Chaotic Eclipse présente RedSun comme une riposte à la façon dont Microsoft gère, selon lui, les signalements transmis au MSRC, et l’on comprend sans mal qu’un chercheur puisse perdre patience lorsqu’un dossier patine face à un éditeur peu pressé d’agir.
Le problème est que RedSun ne prend plus la forme d’une divulgation brutale destinée à secouer Microsoft, mais celle d’un PoC suffisamment abouti pour rendre l’élévation de privilèges bien plus facile à reproduire. Publier un exploit fonctionnel sous cette forme, sur des systèmes encore vulnérables, ne relève plus seulement du travail de recherche. La démarche se rapproche déjà d’une logique d’outillage offensif, pensée non plus pour documenter une faille, mais pour en simplifier l’exploitation.
Une élévation de privilèges locale (Local Privilege Escalation, LPE) permet à un attaquant déjà présent sur une machine (compte limité, session utilisateur, service compromis) de gagner des droits plus élevés. Le niveau SYSTEM est le plus puissant sur Windows : il permet de modifier des fichiers et services protégés, de manipuler la sécurité locale et d’agir au-dessus des comptes administrateurs classiques. Concrètement, obtenir SYSTEM facilite la persistance (démarrage automatique), le désarmement de protections et le mouvement latéral dans un domaine. Le fait que la machine soit « à jour » ne protège pas si la faille touche un composant intégré comme l’antivirus.
Comment l’infrastructure cloud de Microsoft Defender peut-elle conduire à une réécriture de fichier exploitable ?Microsoft Defender s’appuie sur des mécanismes cloud (télémétrie, réputation, analyse) pour décider rapidement si un fichier est suspect. Dans certains flux, l’outil peut manipuler le fichier sur disque, par exemple pour le neutraliser, le restaurer ou le « remédier ». Le risque apparaît si l’action de réécriture ne garantit pas strictement la destination finale : si un attaquant arrive à faire pointer la réécriture vers un autre chemin, il peut provoquer un écrasement. C’est précisément ce type de confusion de cible (où écrire) qui transforme une action de défense en primitive d’écriture détournable.
Pourquoi l’écrasement d’un exécutable système mène-t-il à l’exécution de code avec les droits SYSTEM ?De nombreux exécutables et services Windows sont lancés automatiquement par le système, souvent avec des privilèges élevés (SYSTEM). Si un attaquant parvient à remplacer un binaire légitime par un binaire modifié, le prochain lancement exécute le code malveillant à la place du code attendu. Comme le lancement est effectué par Windows ou par un service, les droits hérités sont ceux de SYSTEM, pas ceux de l’utilisateur initial. Ce scénario est une forme de « hijacking » par remplacement de binaire, particulièrement dangereux car il s’intègre aux mécanismes normaux de démarrage et de maintenance.
