La vulnérabilité RedSun affecte Microsoft Defender et permet à un attaquant disposant de faibles privilèges d’obtenir un accès SYSTEM — le niveau de contrôle le plus élevé sur Windows. Activement exploitée avant la publication du correctif, elle représente une menace critique pour les organisations utilisant Defender comme solution principale.

L’accès SYSTEM : la clé de voûte de Windows

Sous Windows, le compte SYSTEM dispose de droits supérieurs même à ceux d’un administrateur dans certains contextes. Un attaquant avec accès SYSTEM peut : désactiver les solutions de sécurité, accéder à tous les fichiers et secrets, modifier les politiques de sécurité, créer des comptes persistants et se déplacer latéralement sur le réseau. Comme RoguePlanet, RedSun exploite Microsoft Defender lui-même — l’outil censé protéger les systèmes — pour obtenir des privilèges élevés. Ce paradoxe illustre que la confiance excessive dans un seul outil de sécurité peut créer des risques si cet outil lui-même contient des failles.

La vulnérabilité RedSun affecte Microsoft Defender et exploite une faiblesse dans la manière dont le moteur de protection traite certains liens symboliques et opérations sur les fichiers. Un attaquant disposant d’un simple compte utilisateur peut manipuler ces mécanismes afin de tromper Defender et lui faire exécuter des actions avec les privilèges SYSTEM, le niveau d’autorisation le plus élevé sous Windows. Comme Microsoft Defender fonctionne nativement avec des droits élevés, l’exploitation de cette faille permet de détourner ses privilèges pour exécuter du code arbitraire, contourner les protections de sécurité et prendre le contrôle complet du système. Une fois l’accès SYSTEM obtenu, l’attaquant peut installer des logiciels malveillants, désactiver les mécanismes de défense, accéder aux données sensibles et maintenir une présence persistante sur la machine. Cette vulnérabilité a été activement exploitée avant la publication du correctif, ce qui en a fait une menace particulièrement critique pour les environnements Windows utilisant Microsoft Defender comme solution de sécurité principale.

Exploitation active : une urgence immédiate

L’exploitation active (in-the-wild) signifie que des campagnes d’attaque réelles ciblent actuellement des systèmes Windows non patchés. Microsoft a publié un correctif via Windows Update. La priorité absolue est de déployer ce patch sur l’ensemble du parc Windows, en commençant par les systèmes les plus exposés.

Recommandations clés

  • Déployer le correctif Microsoft en priorité absolue via Windows Update ou WSUS
  • Activer Microsoft Defender for Endpoint pour une détection comportementale avancée
  • Surveiller les IoC publiés par Microsoft et les acteurs de la threat intelligence
  • Restreindre les droits des utilisateurs aux droits strictement nécessaires à leurs fonctions
  • Mettre en place une surveillance de l’élévation de privilèges dans votre SIEM
  • Envisager l’isolation réseau (VLAN dédié) pour les systèmes ne pouvant pas être immédiatement patchés

Articles Similaires