RedSun : PoC exploitant Windows Defender pour écraser des fichiers système et élever les privilèges

Thu, 16 Apr 2026 00:00:00 +0000

🔍 Contexte

Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT.

🐛 Description de la vulnérabilité

La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag :

Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine.
Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires.
L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges).

💻 Détails techniques

Langage : C++ (100%)
Fichier principal : RedSun.cpp
Le dépôt contient une release initiale publiée la veille de l’article.
664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire.

📌 Type d’article

Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale.

Antivirus Bypass on CyberVeille

RedSun : PoC exploitant Windows Defender pour écraser des fichiers système et élever les privilèges

🔍 Contexte

🐛 Description de la vulnérabilité

💻 Détails techniques

📌 Type d’article