Chaotic Eclipse publie un deuxième exploit zero-day pour Microsoft Defender
Un chercheur en sécurité opérant sous le pseudonyme "Chaotic Eclipse" a publié le 16 avril 2026 un code d'exploit de preuve de concept pour une vulnérabilité inconnue de Microsoft Defender, surnommée "RedSun". Cela marque la deuxième divulgation zero-day ciblant la solution antivirus phare de Microsoft en l'espace de deux semaines, intensifiant les tensions entre le chercheur et l'équipe de réponse en sécurité de Microsoft.
Les actions du chercheur représentent une protestation coordonnée contre ce qu'ils décrivent comme une gestion inadéquate par Microsoft des divulgations de vulnérabilités et des communications avec les chercheurs. Chaotic Eclipse a attiré l'attention début avril 2026 lorsqu'ils ont divulgué un autre zero-day de Microsoft Defender, établissant un schéma de publications publiques qui contournent les protocoles traditionnels de divulgation responsable.
La vulnérabilité RedSun affecte le moteur de protection en temps réel de Microsoft Defender, ciblant spécifiquement le composant de balayage des malwares qui traite les fichiers entrants et le trafic réseau. Selon la documentation technique du chercheur, la faille permet aux attaquants de créer des fichiers spécialement formatés qui peuvent contourner entièrement les mécanismes de détection de Defender, permettant potentiellement le déploiement de malwares sur des systèmes protégés.
Microsoft Defender sert de solution principale de protection des points de terminaison pour des millions de systèmes Windows 10 et Windows 11 dans le monde entier. L'intégration du logiciel dans les systèmes d'exploitation Windows signifie qu'une exploitation réussie pourrait affecter à la fois les environnements d'entreprise et les appareils grand public exécutant des configurations de sécurité par défaut.
Le moment de cette deuxième divulgation semble délibérément calculé pour maximiser la pression sur l'équipe de sécurité de Microsoft. Des sources de l'industrie familières avec les processus de divulgation de vulnérabilités notent que la publication de plusieurs zero-days en succession rapide représente une escalade inhabituelle dans les différends entre chercheurs et vendeurs, généralement réservée aux cas où les chercheurs estiment que les vendeurs ignorent des problèmes de sécurité critiques.
L'analyse technique de l'exploit RedSun révèle des techniques d'évasion sophistiquées qui exploitent un comportement non documenté dans les routines d'analyse de fichiers de Defender. La vulnérabilité semble provenir d'une validation incorrecte des en-têtes de fichiers lors de la phase initiale de balayage, créant des opportunités pour les attaquants d'injecter des charges utiles malveillantes qui échappent à la détection par les moteurs d'analyse basés sur les signatures et heuristiques.
Les systèmes Windows exécutant Microsoft Defender sont exposés
La vulnérabilité RedSun affecte tous les systèmes Windows exécutant Microsoft Defender comme solution antivirus principale, englobant à la fois les installations Windows 10 et Windows 11 dans les environnements grand public et d'entreprise. Microsoft Defender est préinstallé et activé par défaut sur tous les systèmes Windows modernes, ce qui rend la portée d'impact potentielle exceptionnellement large.
Les environnements d'entreprise font face à un risque particulièrement aigu en raison de leur dépendance à Microsoft Defender pour Endpoint, la version axée sur les entreprises de la plateforme de sécurité. Les organisations utilisant les suites Microsoft 365 Defender, qui intègrent la protection des points de terminaison avec la sécurité des e-mails et des identités, peuvent voir leur pile de sécurité entière compromise si les attaquants exploitent avec succès la vulnérabilité RedSun pour établir un accès initial.
Les installations Windows Server exécutant Defender tombent également dans le champ d'application affecté, exposant potentiellement les infrastructures critiques et les environnements de centres de données. L'impact de la vulnérabilité sur les systèmes serveurs pourrait s'avérer particulièrement dommageable étant donné leur rôle typique dans l'hébergement d'applications et de bases de données sensibles.
Les utilisateurs à domicile représentent une autre population significativement affectée, car les systèmes Windows 10 et Windows 11 sont livrés avec Microsoft Defender activé par défaut. De nombreux consommateurs comptent exclusivement sur la protection intégrée de Microsoft sans solutions de sécurité tierces supplémentaires, les laissant particulièrement vulnérables aux attaques exploitant la faille RedSun.
La divulgation du chercheur indique que la version stable actuelle de Microsoft Defender et les versions préliminaires récentes contiennent la vulnérabilité, suggérant que la faille existe dans le code source depuis une période prolongée. Cette chronologie implique que les systèmes mis à jour au cours des derniers mois restent vulnérables malgré la réception de mises à jour régulières des définitions.
Réponse immédiate requise pour les utilisateurs de Microsoft Defender
Les organisations et les utilisateurs exécutant Microsoft Defender doivent mettre en œuvre des contrôles compensatoires immédiats en attendant un correctif officiel de Microsoft. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils pour les agences fédérales, bien que la vulnérabilité RedSun n'ait pas encore été formellement assignée à un identifiant CVE ou ajoutée au catalogue.
Les administrateurs informatiques devraient envisager de déployer des solutions supplémentaires de détection et de réponse des points de terminaison (EDR) aux côtés de Microsoft Defender pour fournir une protection en couches contre les tentatives potentielles d'exploitation de RedSun. Les systèmes de détection basés sur le réseau peuvent aider à identifier les transferts de fichiers suspects et les schémas de communication qui pourraient indiquer un contournement réussi des protections des points de terminaison.
Le Guide de mise à jour de sécurité de Microsoft ne montre actuellement aucun correctif disponible pour la vulnérabilité RedSun ou le précédent zero-day divulgué par Chaotic Eclipse. L'entreprise publie généralement des correctifs d'urgence pour les vulnérabilités activement exploitées dans les 72 heures suivant la divulgation publique, suggérant que des mises à jour pourraient arriver avant le prochain Patch Tuesday prévu.
Les équipes de sécurité devraient mettre en œuvre une surveillance renforcée de l'exécution des fichiers et des événements de création de processus, en se concentrant particulièrement sur les fichiers qui passent avec succès par le balayage de Defender sans déclencher d'alertes. Les journaux d'événements Windows et la télémétrie propre à Microsoft Defender peuvent fournir des indicateurs de tentatives d'exploitation potentielles.
Les organisations utilisant Microsoft Defender pour Endpoint devraient revoir leurs politiques de sécurité et envisager d'augmenter temporairement les niveaux de sensibilité du balayage, bien que cette approche puisse entraîner des taux plus élevés de faux positifs. Les stratégies d'atténuation alternatives incluent la restriction des téléchargements de fichiers à partir de sources non fiables et la mise en œuvre de contrôles de liste blanche d'applications lorsque cela est possible.
L'absence de correctifs immédiats souligne l'importance des stratégies de défense en profondeur qui ne reposent pas uniquement sur la protection antivirus basée sur les signatures. Les professionnels de la sécurité devraient préparer des procédures de réponse aux incidents pour des scénarios de compromission potentiels tout en surveillant les avis de sécurité de Microsoft pour des conseils de remédiation officiels.
