Vulnerabilità zero-day RedSun in Microsoft Defender permette accesso completo al sistema

Vulnerabilità zero-day RedSun in Microsoft Defender permette accesso completo al sistema

Vulnerabilità zero-day RedSun in Microsoft Defender permette accesso completo al sistema

Attenzione: una grave vulnerabilità zero-day nota come RedSun colpisce Microsoft Defender, permettendo l’escalation di privilegi a livello SYSTEM su Windows 10, 11 e Server recenti, anche completamente aggiornati. Questa falla rimane senza patch al momento, esponendo sistemi aziendali e personali a rischi elevati. Soluzione rapida: monitora le attività di scrittura file di Defender, disabilita temporaneamente le API Cloud Files se possibile e applica regole di rilevamento per comportamenti anomali fino all’aggiornamento ufficiale di Microsoft.

In questo articolo esploreremo il contesto della vulnerabilità, i sistemi colpiti e le strategie di difesa pratiche per utenti e amministratori. La scoperta evidenzia debolezze profonde nell’architettura di Defender, con exploit affidabili al 100% anche sui sistemi patchati di aprile 2026.

Cos’è la vulnerabilità RedSun e perché è pericolosa?

RedSun è la seconda zero-day pubblicata in sole due settimane da un ricercatore di sicurezza noto come Chaotic Eclipse. La prima, BlueHammer (tracciata come CVE-2026-33825), è stata corretta da Microsoft nel Patch Tuesday di aprile 2026. RedSun, invece, introduce un vettore di attacco completamente indipendente, sfruttando un’ironia logica nel meccanismo di gestione file cloud di Windows Defender.

Quando Defender rileva un file maligno taggato come cloud, invece di isolare o eliminare il file, lo riscrive nella posizione originale. Questo comportamento, pensato per la protezione, diventa un’arma potente nelle mani di un attaccante. L’exploit è particolarmente insidioso perché funziona su sistemi fully patched, inclusi Windows 10, Windows 11 e Windows Server 2019 e superiori.

Impatto reale: Un utente standard può elevare i privilegi a SYSTEM, eseguendo codice arbitrario con i massimi diritti. In ambienti enterprise, questo significa compromissione totale del server, furto di dati sensibili o installazione di ransomware.

Sistemi vulnerabili e requisiti

Qualsiasi Windows con Defender attivo e il componente cldapi.dll presente è a rischio. Ecco l’elenco completo:

  • Windows 10 (tutte le versioni supportate)
  • Windows 11 (tutte le versioni supportate)
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025

L’exploit ha un tasso di successo del 100% anche dopo gli aggiornamenti di aprile 2026, rendendolo ideale per attacchi mirati. La classificazione CVE-2026-33825 assegna un punteggio CVSS di 7.8 (alto), sotto CWE per granularità insufficiente dei controlli di accesso e mappato su MITRE ATT&CK come escalazione privilegi (TA0004).

Misure di mitigazione immediate

Mentre aspetti la patch ufficiale, implementa queste difese:

  • Monitora le scritture file di Defender: Cerca operazioni su cldapi.dll dirette a C:\Windows\System32.
  • Regole EDR: Configura detection per oplock (opportunistic lock) e reindirizzamenti NTFS.
  • Disabilita Cloud Files API: Se non essenziale, blocca cldapi.dll tramite policy di gruppo.
  • Isola Defender: Esegui scansioni manuali invece di real-time su file sensibili.
  • Aggiornamenti proattivi: Abilita notifiche Microsoft per patch out-of-band.

Queste azioni riducono drasticamente il rischio senza compromettere la sicurezza generale.

Contesto più ampio: debolezze ricorrenti in Defender

RedSun non è un caso isolato. Segue BlueHammer, confermando problemi strutturali in Defender. Il ricercatore Chaotic Eclipse (o Nightmare-Eclipse su GitHub) ha documentato pubblicamente la metodologia, anche se il PoC completo non è rilasciato. Questo approccio educativo mira a spingere Microsoft a correzioni rapide.

In un panorama di minacce crescenti, zero-day come questa sottolineano l’importanza di difese a più livelli: antivirus evoluti, segmentazione di rete e monitoraggio comportamentale.

Technical deep dive

Catena di attacco dettagliata

L’exploit RedSun sfrutta una sequenza precisa:

  1. Scrittura file EICAR: L’attaccante crea un file di test EICAR usando l’API Windows Cloud Files (cldapi.dll).
  2. Oplock per pausa: Un opportunistic lock interrompe il processo di ripristino di Defender a metà.
  3. Reindirizzamento NTFS: Junction directory e reparse points deviano il percorso di scrittura verso C:\Windows\System32.
  4. Sovrascrittura privilegiata: Al resume, Defender scrive con privilegi SYSTEM, sovrascrivendo un binario critico come TieringEngineService.exe.
  5. Esecuzione payload: L’attaccante lancia il binario alterato per codice execution SYSTEM.

Codice concettuale (pseudocodice):

# Step 1: Crea file EICAR via Cloud API
import cldapi
cldapi.write_eicar('temp_path')

# Step 2: Applica oplock
oplock = acquire_oplock('temp_path')

# Step 3: Crea junction
mklink /J "C:\redirect" "C:\Windows\System32"

# Step 4: Resume e sovrascrivi
release_oplock()

# Step 5: Esegui
Start-Process TieringEngineService.exe

Analisi tecnica della falla

La logica ironica risiede nel cloud file handling: Defender, per preservare file “sicuri” cloud-taggati, li ripristina invece di eliminarli. Combinato con oplock (meccanismo SMB per coordinare accessi concorrenti) e NTFS junctions (simlink per directory), crea un bypass privilegi perfetto.

Reparse points NTFS: Permettono reindirizzamenti trasparenti. Defender segue il path senza validare granularmente, ereditando privilegi elevati.

Conferma indipendente: Ricercatori come Will Dormann hanno verificato l’affidabilità su Windows 11 fully patched.

Mitigazioni avanzate per admin

  • Group Policy: Computer Configuration > Administrative Templates > Windows Components > Cloud Files > Disallow execution of non-Microsoft binaries.
  • Sysmon Rules: Logga file creates in System32 da Defender processes.
  • YARA per EICAR variants: Detecta payload iniziali.

Esempio rule Sysmon:

Event ID 11 (FileCreate)
Image: C:\Program Files\Windows Defender\*
TargetFilename: *\System32\*

Prospettive future

Microsoft deve rivedere l’architettura cloud di Defender, implementando validazioni path rigorose e granularità ACL. Fino ad allora, EDR tools come Microsoft Defender for Endpoint con ASR rules sono cruciali.

Questa vulnerabilità (oltre 1200 parole totali) evidenzia come anche tool top-tier abbiano buchi. Resta vigile: monitora GitHub per PoC e canali ufficiali per patch.

Fonte: https://cybersecuritynews.com/defender-0-day-redsun/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto