Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

RedSun: критическая уязвимость Defender в Windows позволяет повысить привилегии

26
3 мин
RedSun — это критический метод эксплуатации, который использует логическую ошибку в процессе исправления файлов в Windows Defender. Уязвимость позволяет обычному пользователю получить повышенные права на выполнение кода без административных привилегий, обхода UAC или эксплойтов на уровне ядра. Проблема возникает в момент, когда Windows Defender обнаруживает вредоносный файл, помеченный cloud attributes, и пытается восстановить его по исходному пути. При этом система не проверяет, является ли этот путь junction point. Ошибка связана с отсутствием проверки reparse point в ядре механизма защиты от вредоносного ПО — MpSvc.dll, на который опирается Windows Defender при выполнении задач remediation. Злоумышленник может манипулировать временем выполнения операции восстановления Defender с помощью batch locking. В результате целевой каталог подменяется подключенной точкой reparse point, которая перенаправляет обращение в чувствительный каталог C:WindowsSystem32. Когда Defender записывает обрат
Оглавление

RedSun — это критический метод эксплуатации, который использует логическую ошибку в процессе исправления файлов в Windows Defender. Уязвимость позволяет обычному пользователю получить повышенные права на выполнение кода без административных привилегий, обхода UAC или эксплойтов на уровне ядра.

Как работает атака

Проблема возникает в момент, когда Windows Defender обнаруживает вредоносный файл, помеченный cloud attributes, и пытается восстановить его по исходному пути. При этом система не проверяет, является ли этот путь junction point.

Ошибка связана с отсутствием проверки reparse point в ядре механизма защиты от вредоносного ПО — MpSvc.dll, на который опирается Windows Defender при выполнении задач remediation.

Злоумышленник может манипулировать временем выполнения операции восстановления Defender с помощью batch locking. В результате целевой каталог подменяется подключенной точкой reparse point, которая перенаправляет обращение в чувствительный каталог C:WindowsSystem32.

Когда Defender записывает обратно предполагаемый исходный файл, он фактически помещает контролируемый злоумышленником binary непосредственно в System32. После этого файл выполняется в system context через COM-server для управления storage levels.

Какие легитимные механизмы Windows задействованы

RedSun строится на цепочке законных функций Windows. В частности, он использует:

  • Volume Shadow Copy Service (VSS) для создания snapshots файлов;
  • точки junction, которые могут создавать обычные пользователи;
  • мониторинг создания VSS snapshots, позволяющий злоумышленнику менять рабочий каталог и перенаправлять записи в произвольное место.

Иными словами, атака не требует сложного низкоуровневого вмешательства: она опирается на стандартные механизмы операционной системы, которые в норме считаются безопасными.

Что показал PoC

PoC эксплойта, опубликованный исследователем безопасности Chaotic Eclipse, демонстрирует несколько нестандартных приемов:

  • сохранение test string EICAR в перевернутом виде, чтобы избежать обнаружения;
  • удаление исходного файла;
  • создание cloud-backed file storage для проведения атаки.

Кульминацией эксплуатации становится выполнение вредоносной payload с повышенными привилегиями, что приводит к созданию interactive system shell в рамках пользовательского сеанса.

Кого затрагивает уязвимость

По данным отчета, RedSun затрагивает все современные системы Windows с Windows Defender, включая:

  • Windows 10;
  • Windows 11;
  • Windows Server 2019 и более поздние версии.

Отмечается, что метод стабильно работает даже на системах, обновленных совсем недавно — в апреле 2026 года.

Статус защиты и риски

На данный момент для этой уязвимости не назначено ни исправление, ни официальный CVE. Это оставляет существенный пробел в защите и делает проблему особенно опасной для корпоративной инфраструктуры и конечных пользователей.

Поскольку эксплуатация не требует административных прав и использует доверенные компоненты Windows, обнаружение и предотвращение атаки могут быть затруднены без дополнительного мониторинга.

Рекомендации по снижению риска

В отчете перечислены меры, которые могут помочь выявить попытки эксплуатации до успешной компрометации:

  • мониторинг необычной активности по перечислению VSS со стороны non-system processes;
  • отслеживание неожиданных file write operations, исходящих от процессов Defender;
  • контроль за созданием reparse point и mount point links во временных каталогах.

По мнению авторов отчета, именно такие indicators of compromise способны помочь заметить атаку на ранней стадии и предотвратить захват системы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "RedSun: критическая уязвимость Defender в Windows позволяет повысить привилегии".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются