📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun.

🔍 Contexte général RedSun est un exploit d’élévation de privilèges locale (LPE) affectant Windows Defender sur tout système Windows avec la protection en temps réel activée. Il est référencé sous CVE-2026-41091 et a été découvert par le chercheur Nightmare Eclipse.

⚙️ Cause racine de la vulnérabilité Lorsque Windows Defender (MsMpEng.exe, s’exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier à son emplacement d’origine. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette écriture privilégiée vers C:\Windows\System32.

🔗 Chaîne d’exploitation en 6 phases

  1. Déclenchement de Defender : écriture de la chaîne EICAR (stockée inversée dans le binaire) dans un fichier nommé TieringEngineService.exe dans un répertoire temporaire, puis ouverture avec FILE_EXECUTE.
  2. Détection du snapshot VSS : surveillance du namespace Object Manager (\Device) pour détecter l’apparition d’un nouveau volume HarddiskVolumeShadowCopy* créé par Defender lors de sa remédiation.
  3. Gel de Defender via premier oplock : placement d’un batch oplock (FSCTL_REQUEST_BATCH_OPLOCK) sur le fichier leurre dans le volume VSS, pausant les opérations de Defender de manière déterministe.
  4. Substitution par un placeholder Cloud Files : suppression POSIX du fichier EICAR original, enregistrement du répertoire comme sync root Cloud Files (sans callback de hydratation), création d’un placeholder déhydraté au même nom et taille. Defender rencontre alors le placeholder et engage le code path de write-back défaillant.
  5. Second oplock et mise en place de la jonction : déplacement du répertoire cloud, recréation d’un répertoire vide, second batch oplock sur un nouveau fichier (protégé par un mapping mémoire contre la suppression), puis création d’une jonction NTFS pointant vers C:\Windows\System32.
  6. Exécution SYSTEM : Defender écrit via la jonction dans System32, créant TieringEngineService.exe. L’exploit y copie son propre binaire et active le COM object Storage Tiers Management (CLSCTX_LOCAL_SERVER) pour déclencher l’exécution en SYSTEM. Un shell SYSTEM est livré sur le bureau de l’utilisateur via conhost.exe et un named pipe \\??\\pipe\\REDSUN.

🛠️ Mécanismes techniques clés

  • Batch oplocks : transforment une race condition non-déterministe en fenêtre de timing contrôlée
  • Cloud Files API : CfRegisterSyncRoot, CfConnectSyncRoot, CfCreatePlaceholders avec zéro callback
  • POSIX delete (FILE_DISPOSITION_POSIX_SEMANTICS) : libère immédiatement le nom de fichier
  • Memory-mapped section : protège le fichier contre la suppression prématurée par Defender
  • Named pipe REDSUN : canal de communication entre l’instance utilisateur et l’instance SYSTEM pour identifier la session de bureau cible

📌 Impact Exécution de code arbitraire en NT AUTHORITY\SYSTEM depuis un compte utilisateur standard, sans dépendance à une race condition probabiliste.

📄 Type d’article : Analyse technique approfondie (write-up) d’un exploit LPE, visant à documenter le fonctionnement interne de RedSun et les primitives Windows sous-jacentes, dans le cadre d’une série sur les bugs Windows.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1574.010 — Hijack Execution Flow: Services File Permissions Weakness (Privilege Escalation)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1055 — Process Injection (Privilege Escalation)
  • T1569.002 — System Services: Service Execution (Execution)
  • T1134.002 — Access Token Manipulation: Create Process with Token (Privilege Escalation)

IOC

  • CVEs : CVE-2026-41091NVD · CIRCL
  • Fichiers : TieringEngineService.exe
  • Fichiers : MsMpEng.exe
  • Chemins : C:\Windows\System32\TieringEngineService.exe
  • Chemins : C:\Windows\System32\conhost.exe

Malware / Outils

  • RedSun (tool)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ blog.calif.io — source reconnue (Rösti community) (20pts)
  • ✅ 25709 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.calif.io/p/redsun-exploiting-windows-defenders