https://cyberveille.ch/tags/redsun/ Recent content in RedSun on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-cve-2026-33825-zero-day-windows-defender-exploite-par-bluehammer-et-redsun-pour-elevation-de-privileges/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-cve-2026-33825-zero-day-windows-defender-exploite-par-bluehammer-et-redsun-pour-elevation-de-privileges/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Publié le 16 avril 2026 par Picus Security (auteur : Huseyin Can YUCEEL), cet article analyse la <strong>vulnérabilité zero-day CVE-2026-33825</strong> dans <strong>Microsoft Windows Defender</strong>, divulguée publiquement le 7 avril 2026 avec un proof-of-concept fonctionnel. Microsoft a publié un correctif lors du Patch Tuesday d&rsquo;avril 2026.</p> <h2 id="-vulnérabilité-cve-2026-33825">🔍 Vulnérabilité CVE-2026-33825</h2> <ul> <li><strong>Score CVSS : 7.8 (High)</strong></li> <li><strong>Type</strong> : Local Privilege Escalation (LPE)</li> <li><strong>Cause</strong> : Race condition de type <strong>TOCTOU (Time-of-Check to Time-of-Use)</strong> dans le moteur de remédiation de fichiers de Windows Defender</li> <li><strong>Impact</strong> : Exécution de code au niveau <strong>SYSTEM</strong> depuis un compte non privilégié, sans interaction utilisateur</li> <li><strong>Produits affectés</strong> : Windows 10 (toutes versions supportées), Windows 11 (toutes versions supportées), Windows Server 2016/2019/2022/2025, Microsoft Defender Antivirus (avant la mise à jour d&rsquo;avril 2026)</li> </ul> <h2 id="-détails-techniques--exploit-bluehammer">⚙️ Détails techniques — Exploit BlueHammer</h2> <p>L&rsquo;exploit <strong>BlueHammer</strong> abuse de la logique de remédiation de fichiers de Defender :</p> https://cyberveille.ch/posts/2026-04-16-redsun-poc-exploitant-windows-defender-pour-ecraser-des-fichiers-systeme-et-elever-les-privileges/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-redsun-poc-exploitant-windows-defender-pour-ecraser-des-fichiers-systeme-et-elever-les-privileges/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 16 avril 2026 sur GitHub par l&rsquo;utilisateur <strong>Nightmare-Eclipse</strong>, le dépôt <strong>RedSun</strong> expose une vulnérabilité affectant <strong>Windows Defender</strong> (antivirus Microsoft). Le code source est disponible en <strong>C++</strong> sous licence MIT.</p> <h2 id="-description-de-la-vulnérabilité">🐛 Description de la vulnérabilité</h2> <p>La vulnérabilité repose sur un comportement inattendu de <strong>Windows Defender</strong> lors de la détection d&rsquo;un fichier malveillant portant un <strong>cloud tag</strong> :</p> <ul> <li>Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il <strong>réécrit le fichier à son emplacement d&rsquo;origine</strong>.</li> <li>Le PoC <strong>abuse de ce comportement</strong> pour <strong>écraser des fichiers système</strong> arbitraires.</li> <li>L&rsquo;exploitation permet d&rsquo;obtenir des <strong>privilèges administrateurs</strong> (élévation de privilèges).</li> </ul> <h2 id="-détails-techniques">💻 Détails techniques</h2> <ul> <li>Langage : <strong>C++ (100%)</strong></li> <li>Fichier principal : <code>RedSun.cpp</code></li> <li>Le dépôt contient une <strong>release initiale</strong> publiée la veille de l&rsquo;article.</li> <li>664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire.</li> </ul> <h2 id="-type-darticle">📌 Type d&rsquo;article</h2> <p>Il s&rsquo;agit d&rsquo;une <strong>publication de PoC (Proof of Concept)</strong> accompagnée d&rsquo;une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale.</p>