Le chercheur en sécurité connu sous le nom de Chaotic Eclipse continue de faire parler de lui en 2026 avec sa deuxième découverte majeure en moins de quinze jours. Après BlueHammer, il dévoile RedSun, une faille zero-day qui expose Microsoft Defender à des risques d’élévation de privilèges sur des systèmes Windows pourtant à jour, suscitant de vives inquiétudes dans le monde de la cybersécurité.
L’essentiel à retenir
- Chaotic Eclipse a dévoilé RedSun, une faille zero-day affectant Microsoft Defender, permettant d’obtenir les droits SYSTEM sur Windows 10, 11 et Server.
- La faille exploite un défaut dans le traitement des fichiers signalés par l’infrastructure cloud de Microsoft Defender.
- RedSun est déjà utilisé dans des attaques réelles, ce qui rend sa divulgation particulièrement préoccupante.
RedSun et la gestion des failles zero-day par Microsoft
Chaotic Eclipse, aussi connu sous le nom de Nightmare Eclipse, a récemment publié des informations sur RedSun, une faille zero-day affectant Microsoft Defender. Ce chercheur estime que Microsoft ne répond pas adéquatement aux signalements de failles transmis au Microsoft Security Response Center (MSRC). Cette faille permet une élévation de privilèges locale, rendant possible l’obtention des droits SYSTEM sur les versions à jour de Windows 10, Windows 11 et Windows Server.
Le mécanisme d’exploitation de RedSun
RedSun exploite une vulnérabilité dans la manière dont Microsoft Defender gère les fichiers signalés comme malveillants. Au lieu de simplement supprimer ces fichiers, l’antivirus peut réécrire leur contenu, ce qui permet aux attaquants de rediriger cette réécriture vers un exécutable système légitime. Ainsi, lorsque le système ou un service lance ce binaire compromis, le code malveillant s’exécute avec les droits SYSTEM.
Répercussions de la divulgation de RedSun
Will Dormann, analyste principal chez Tharros, a confirmé que l’exploit fonctionne sur des versions à jour de Windows, ce qui a été corroboré par les équipes de sécurité d’Huntress, qui ont déjà observé des exploitations réelles de RedSun. Cette divulgation suscite des inquiétudes quant à la sécurité des systèmes utilisant Microsoft Defender, car elle facilite l’exploitation de la faille plutôt que de simplement documenter une vulnérabilité.
Les précédents exploits de Chaotic Eclipse et la riposte de Microsoft
Avant RedSun, Chaotic Eclipse avait déjà fait parler de lui avec BlueHammer, une autre faille zero-day. Microsoft avait corrigé cette vulnérabilité lors du Patch Tuesday suivant sa divulgation. Néanmoins, la répétition de ces découvertes met en lumière des problèmes systémiques dans la gestion des failles et la réaction de Microsoft aux signalements, poussant les chercheurs à adopter des mesures plus drastiques, comme la publication de PoC complets.
Évolution de la cybersécurité face aux menaces zero-day
À mesure que les failles zero-day continuent d’émerger, les entreprises de cybersécurité doivent redoubler d’efforts pour anticiper et contrer ces menaces. Les chercheurs en sécurité jouent un rôle crucial dans cette démarche, mais leur relation avec les éditeurs de logiciels, comme Microsoft, doit être améliorée pour permettre une réponse rapide et efficace aux failles signalées.
La place des failles zero-day dans le paysage de la sécurité informatique de 2026
En 2026, les failles zero-day représentent toujours un défi majeur pour les entreprises de technologie et de sécurité. Des sociétés comme Microsoft sont confrontées à la nécessité d’améliorer leurs processus de réponse aux incidents pour protéger les utilisateurs finaux. L’émergence constante de nouvelles menaces met en lumière l’importance d’une collaboration étroite entre chercheurs et entreprises pour minimiser les risques associés aux vulnérabilités zero-day.
