🔍 Contexte

Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT.

🐛 Description de la vulnérabilité

La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag :

  • Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine.
  • Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires.
  • L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges).

💻 Détails techniques

  • Langage : C++ (100%)
  • Fichier principal : RedSun.cpp
  • Le dépôt contient une release initiale publiée la veille de l’article.
  • 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire.

📌 Type d’article

Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1485 — Data Destruction (Impact)

IOC

  • Fichiers : RedSun.cpp

Malware / Outils

  • RedSun (tool)

🟡 Indice de vérification factuelle : 41/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 1440 chars — texte partiel (10pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/Nightmare-Eclipse/RedSun