RedSun: nowy zero-day w Microsoft Defender umożliwia eskalację uprawnień do SYSTEM - Security Bez Tabu

RedSun: nowy zero-day w Microsoft Defender umożliwia eskalację uprawnień do SYSTEM

Cybersecurity news

Wprowadzenie do problemu / definicja

RedSun to publicznie opisany proof-of-concept dla lokalnej podatności eskalacji uprawnień w systemach Windows, która według dostępnych informacji dotyczy działania Microsoft Defender przy aktywnej ochronie antywirusowej. Luka ma umożliwiać przejęcie kontekstu SYSTEM, czyli najwyższego lokalnego poziomu uprawnień w systemie operacyjnym.

Z perspektywy bezpieczeństwa to scenariusz szczególnie groźny, ponieważ napastnik, który uzyskał już ograniczony dostęp do stacji roboczej lub serwera, może wykorzystać podatność do pełnego przejęcia hosta. Nie jest to więc klasyczny zdalny exploit, lecz mechanizm wzmacniający skutki wcześniejszego kompromisu.

W skrócie

RedSun jest opisywany jako zero-day typu local privilege escalation. Z udostępnionych analiz wynika, że problem może dotyczyć aktualnych instalacji Windows 10, Windows 11 oraz Windows Server, jeśli w systemie działa Microsoft Defender.

  • atak wymaga lokalnego dostępu do systemu,
  • celem jest uzyskanie uprawnień SYSTEM,
  • łańcuch ataku ma wykorzystywać zachowanie Defendera podczas ponownego zapisu pliku,
  • w eksploatacji pojawiają się techniki takie jak Cloud Files API, oplock, reparse point i directory junction,
  • publiczna dostępność proof-of-concept zwiększa ryzyko szybkiego wykorzystania w realnych atakach.

Kontekst / historia

Informacje o RedSun pojawiły się krótko po wcześniejszych doniesieniach o innym błędzie eskalacji uprawnień powiązanym z Microsoft Defender. Tego typu publikacje zwykle zwiększają presję na producenta, ale jednocześnie ułatwiają pracę mniej zaawansowanym operatorom zagrożeń, którzy mogą skorzystać z gotowego kodu.

W szerszym ujęciu RedSun wpisuje się w kategorię błędów, w których problem nie wynika z pojedynczej funkcji systemowej, ale z niebezpiecznego połączenia kilku legalnych mechanizmów Windows. Same w sobie placeholder files, reparse points czy synchronizacja plików z chmurą nie są podatnością. Ryzyko pojawia się dopiero wtedy, gdy można przewidywalnie wpłynąć na kolejność operacji wejścia-wyjścia albo przekierować miejsce docelowego zapisu.

Analiza techniczna

Według opublikowanych opisów exploit wykorzystuje Cloud Files API, czyli mechanizm Windows przeznaczony do obsługi plików placeholder i integracji z usługami synchronizacji. W tym modelu system oraz powiązane komponenty mogą wykonywać operacje na plikach w imieniu usług działających z wysokimi uprawnieniami.

Łańcuch ataku ma rozpoczynać się od użycia ciągu testowego EICAR, który pozwala wywołać reakcję silnika antywirusowego bez używania prawdziwego malware. Następnie exploit prowokuje Defendera do wykrycia pliku i wykorzystuje zachowanie związane z jego ponownym zapisaniem do pierwotnej lokalizacji.

Kluczową rolę ma odgrywać oplock, czyli blokada oportunistyczna, która pozwala kontrolować moment dostępu do pliku i wygrać wyścig czasowy. Równolegle używany jest reparse point lub directory junction, aby przekierować operację zapisu do lokalizacji systemowej o wysokim znaczeniu bezpieczeństwa. W efekcie przygotowany wcześniej payload może nadpisać plik wykonywalny uruchamiany z uprawnieniami SYSTEM.

Technicznie RedSun jest przykładem ataku, który nie wymaga klasycznego błędu pamięciowego. Zamiast tego wykorzystuje logikę operacji plikowych oraz interakcję między komponentem ochronnym, mechanizmami synchronizacji i funkcjami przekierowania ścieżek w Windows.

  • wymuszenie reakcji Defendera na spreparowany plik,
  • kontrola czasu dostępu do pliku za pomocą oplocka,
  • manipulacja ścieżką docelową z użyciem reparse point lub junction,
  • nadpisanie pliku o znaczeniu systemowym,
  • uruchomienie kodu w kontekście SYSTEM.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją RedSun jest możliwość podniesienia uprawnień do SYSTEM na nowoczesnych, aktualnych wersjach Windows. To sprawia, że nawet pozornie ograniczone naruszenie bezpieczeństwa, na przykład po phishingu, złośliwym instalatorze lub innym lokalnym wektorze, może szybko przerodzić się w pełne przejęcie urządzenia.

Dla organizacji oznacza to realne zagrożenie dla poufności, integralności i dostępności systemów. Po skutecznej eskalacji napastnik może wyłączać zabezpieczenia, uzyskiwać dostęp do danych innych użytkowników, instalować trwałe mechanizmy persistence, modyfikować usługi systemowe i przygotowywać środowisko do dalszego ruchu bocznego.

Dodatkowym czynnikiem ryzyka jest publiczna dostępność kodu proof-of-concept. Gdy szczegóły techniczne trafiają do sieci, czas potrzebny do adaptacji exploitu przez cyberprzestępców zwykle znacząco się skraca.

Rekomendacje

Zespoły bezpieczeństwa powinny traktować RedSun jako istotny sygnał do wzmocnienia monitoringu oraz hardeningu stacji roboczych i serwerów Windows. Nawet jeśli poprawka jest już dostępna lub dopiero oczekiwana, kluczowe znaczenie mają działania ograniczające skutki lokalnej eskalacji uprawnień.

  • monitorować komunikaty producenta i jak najszybciej wdrożyć poprawki,
  • ograniczyć możliwość uruchamiania nieautoryzowanego kodu lokalnie,
  • stosować application control i polityki allowlisting,
  • zwiększyć rejestrowanie zdarzeń dotyczących reparse points, junctions i operacji na plikach systemowych,
  • analizować uruchomienia procesów w kontekście SYSTEM po nietypowych operacjach plikowych,
  • monitorować użycie Cloud Files API i procesów powiązanych z placeholder files,
  • egzekwować zasadę najmniejszych uprawnień,
  • wzmocnić detekcję technik LPE opartych na race condition i nadpisywaniu plików wykonywalnych.

W warstwie detekcyjnej warto zwrócić szczególną uwagę na tworzenie plików testowych prowokujących reakcję AV, nagłe zmiany ścieżek docelowych, modyfikacje binariów w katalogach systemowych oraz nietypowe korelacje między aktywnością Defendera a późniejszym uruchomieniem procesu z tokenem SYSTEM.

Podsumowanie

RedSun pokazuje, że nawet mechanizmy projektowane z myślą o ochronie i wygodzie użytkownika mogą stać się elementem łańcucha ataku, jeśli ich zachowanie da się połączyć z technikami wyścigu czasowego i przekierowania operacji plikowych. Najistotniejszy problem polega na tym, że lokalny atakujący może uzyskać najwyższe uprawnienia w systemie bez wykorzystywania klasycznych błędów pamięciowych.

Dla obrońców oznacza to potrzebę szybkiego reagowania, monitorowania zaleceń producenta, wzmacniania kontroli uruchamiania kodu oraz dokładniejszej obserwacji operacji plikowych w newralgicznych ścieżkach systemowych.

Źródła

  1. BleepingComputer — New Microsoft Defender “RedSun” zero-day PoC grants SYSTEM privileges — https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/
  2. Microsoft Learn — Build a Cloud Sync Engine that Supports Placeholder Files — https://learn.microsoft.com/en-us/windows/win32/cfapi/build-a-cloud-file-sync-engine
  3. Microsoft Security Response Center — Security Update Guide: CVE-2026-33825 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825