RedSun

📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun. 🔍 Contexte général RedSun est un exploit d’élévation de privilèges locale (LPE) affectant Windows Defender sur tout système Windows avec la protection en temps réel activée. Il est référencé sous CVE-2026-41091 et a été découvert par le chercheur Nightmare Eclipse. ⚙️ Cause racine de la vulnérabilité Lorsque Windows Defender (MsMpEng.exe, s’exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier à son emplacement d’origine. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette écriture privilégiée vers C:\Windows\System32. ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

🔍 Contexte Publié le 15 mai 2026 par la Ransom-ISAC Research Team, ce whitepaper technique de 120 minutes analyse le corpus Rocket.Chat du groupe The Gentlemen, un opérateur RaaS russophone actif depuis juillet/août 2025. La fuite a été initiée par un utilisateur « n345 » qui a proposé les données à la vente le 5 mai 2026 pour 10 000 USD en Bitcoin sur PwnForums, avant de les publier gratuitement le 8 mai sur CryptBB. ...

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opérant sous le pseudonyme Nightmare-Eclipse, publie une série de divulgations publiques de vulnérabilités ciblant Microsoft Windows, en réponse à ce qu’il décrit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — première divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifié de « DOS tool » et de 0-day, permettant à tout utilisateur d’exécuter du code avec privilèges administrateur en contournant Windows Defender. L’auteur précise que combiné à BlueHammer, la machine est entièrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en réponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait été informé mais avait ignoré le signalement. 12 mai 2026 : Publication simultanée de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patché RedSun sans CVE ni advisory, malgré une exploitation active. Il confirme que YellowKey fonctionne même dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠️ Éléments notables L’auteur affirme disposer d’un dead man switch sophistiqué, hébergé hors de son domicile, contenant des divulgations massives supplémentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signés cryptographiquement via PGP (Ed25519), la clé publique est publiée sur le blog. L’auteur annonce des divulgations de RCE à venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est décrit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une série de divulgations publiques offensives (full disclosure) motivées par un conflit personnel avec Microsoft/MSRC, accompagnées de menaces crédibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnérabilités non corrigées. ...

🗓️ Contexte Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature. 🔍 Les trois exploits Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub : BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann. UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure. Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft). ...

🗓️ Contexte Publié le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la vulnérabilité zero-day CVE-2026-33825 dans Microsoft Windows Defender, divulguée publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publié un correctif lors du Patch Tuesday d’avril 2026. 🔍 Vulnérabilité CVE-2026-33825 Score CVSS : 7.8 (High) Type : Local Privilege Escalation (LPE) Cause : Race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans le moteur de remédiation de fichiers de Windows Defender Impact : Exécution de code au niveau SYSTEM depuis un compte non privilégié, sans interaction utilisateur Produits affectés : Windows 10 (toutes versions supportées), Windows 11 (toutes versions supportées), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise à jour d’avril 2026) ⚙️ Détails techniques — Exploit BlueHammer L’exploit BlueHammer abuse de la logique de remédiation de fichiers de Defender : ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...