https://cyberveille.ch/tags/cloud-files/ Recent content in Cloud Files on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 02 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-02-redsun-cve-2026-41091-elevation-de-privileges-via-le-workflow-de-remediation-de-windows-defender/ Tue, 02 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-02-redsun-cve-2026-41091-elevation-de-privileges-via-le-workflow-de-remediation-de-windows-defender/ <p>📰 <strong>Source</strong> : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l&rsquo;exploit RedSun.</p> <p>🔍 <strong>Contexte général</strong> <strong>RedSun</strong> est un exploit d&rsquo;<strong>élévation de privilèges locale (LPE)</strong> affectant <strong>Windows Defender</strong> sur tout système Windows avec la protection en temps réel activée. Il est référencé sous <strong>CVE-2026-41091</strong> et a été découvert par le chercheur <strong>Nightmare Eclipse</strong>.</p> <p>⚙️ <strong>Cause racine de la vulnérabilité</strong> Lorsque <strong>Windows Defender</strong> (MsMpEng.exe, s&rsquo;exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un <strong>tag de reparse Cloud Files</strong> (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il <strong>réécrit le fichier à son emplacement d&rsquo;origine</strong>. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des <strong>jonctions NTFS</strong>, permet de rediriger cette écriture privilégiée vers <code>C:\Windows\System32</code>.</p>