Le nouveau PoC montre comment Microsoft Defender peut être amené à réécrire des fichiers malveillants dans des emplacements protégés, permettant ainsi une élévation des privilèges au niveau du SYSTÈME sur des systèmes Windows entièrement corrigés.
Quelques jours après que Microsoft ait corrigé un problème de haute gravité affectant son outil antivirus Windows Defender via le Patch Tuesday d’avril, les chercheurs mettent en garde contre une autre vulnérabilité qui pourrait activer les privilèges SYSTEM via une escalade locale.
Dans un exploit de preuve de concept (PoC) récemment divulgué, baptisé « RedSun », un utilisateur de GitHub connu sous le nom de « Nightmare Eclipse » a démontré comment la gestion par Microsoft Defender de certains fichiers balisés dans le cloud peut être abusée pour écraser des fichiers système protégés et élever les privilèges.
« Lorsque Windows Defender se rend compte qu’un fichier malveillant a une balise cloud, pour une raison stupide et hilarante, l’antivirus censé protéger décide que c’est une bonne idée de simplement réécrire le fichier qu’il a trouvé à son emplacement d’origine », a écrit Eclipse dans la description du référentiel PoC.
L’exploit PoC affecte les systèmes Windows 10 et Windows 11 exécutant Microsoft Defender, en particulier les versions avec les fonctionnalités de fichiers cloud activées.
L’antivirus réécrit la menace
Le RedSun PoC met en évidence un comportement contre-intuitif. Le processus de correction de Defender peut restaurer un fichier signalé sous certaines conditions. Plus précisément, les fichiers balisés avec des métadonnées cloud (tels que ceux utilisés par OneDrive et des services similaires) déclenchent un chemin de traitement différent au sein du moteur antivirus.
Plutôt que de supprimer définitivement le fichier malveillant, Defender tente de le restaurer à sa source d’origine, en réécrivant le fichier sur le disque. Le PoC exploite ce mécanisme pour, pendant le processus de réécriture, manipuler le contenu ou la destination du fichier.
Si un attaquant peut contrôler le moment et l’emplacement de la réécriture, il peut remplacer les binaires système ou les fichiers de configuration légitimes par des charges utiles malveillantes. RedSun a démontré cet exploit pour obtenir des privilèges au niveau du SYSTÈME.
Will Dormann d’Infosec Exchange a vérifié le PoC à l’aide de l’API Cloud Files. « Cela fonctionne de manière fiable à 100 % pour passer d’un utilisateur non privilégié à un système contre Windows 11 et Windows Server 2019+ avec les mises à jour d’avril 2026, ainsi que Windows 10, à condition que Windows Defender soit activé », a-t-il déclaré. « Tout système doté de cldapi.dll devrait être affecté. »
Dormann a utilisé l’API Cloud Files pour introduire un fichier spécialement conçu, suivi de « oplock » pour contrôler le timing d’accès aux fichiers. À partir de là, l’exploit exploite les conditions de concurrence de Volume Shadow Copy et les jonctions de répertoires/points d’analyse pour rediriger l’endroit où Defender écrit le fichier.
Deuxième LPE basé sur Defender en quelques jours
La faille Defender corrigée plus tôt cette semaine dans le cadre du Patch Tuesday était l’un des deux bugs zero-day corrigés par Microsoft, et elle permettait également une élévation de privilèges locaux découlant d’une « granularité insuffisante du contrôle d’accès ».
Alors que Microsoft a attribué la découverte de la faille, identifiée comme CVE-2026-33825, au chercheur en sécurité Zen Dodd, la faille comportait déjà un exploit PoC, « BlueHammer », disponible avant même d’être corrigée. Il vient de « Chaotic Eclipse », un alias utilisé par Nightmare Eclipse sur d’autres plateformes de publication. La faille a reçu une note de gravité élevée de 7,8 sur 10.
