RedSun: критическая уязвимость Defender в Windows позволяет повысить привилегии

RedSun — это критический метод эксплуатации, который использует логическую ошибку в процессе исправления файлов в Windows Defender. Уязвимость позволяет обычному пользователю получить повышенные права на выполнение кода без административных привилегий, обхода UAC или эксплойтов на уровне ядра.

Как работает атака

Проблема возникает в момент, когда Windows Defender обнаруживает вредоносный файл, помеченный cloud attributes, и пытается восстановить его по исходному пути. При этом система не проверяет, является ли этот путь junction point.

Ошибка связана с отсутствием проверки reparse point в ядре механизма защиты от вредоносного ПО — MpSvc.dll, на который опирается Windows Defender при выполнении задач remediation.

Злоумышленник может манипулировать временем выполнения операции восстановления Defender с помощью batch locking. В результате целевой каталог подменяется подключенной точкой reparse point, которая перенаправляет обращение в чувствительный каталог C:WindowsSystem32.

Когда Defender записывает обратно предполагаемый исходный файл, он фактически помещает контролируемый злоумышленником binary непосредственно в System32. После этого файл выполняется в system context через COM-server для управления storage levels.

Какие легитимные механизмы Windows задействованы

RedSun строится на цепочке законных функций Windows. В частности, он использует:

• Volume Shadow Copy Service (VSS) для создания snapshots файлов;
• точки junction, которые могут создавать обычные пользователи;
• мониторинг создания VSS snapshots, позволяющий злоумышленнику менять рабочий каталог и перенаправлять записи в произвольное место.

Иными словами, атака не требует сложного низкоуровневого вмешательства: она опирается на стандартные механизмы операционной системы, которые в норме считаются безопасными.

Что показал PoC

PoC эксплойта, опубликованный исследователем безопасности Chaotic Eclipse, демонстрирует несколько нестандартных приемов:

• сохранение test string EICAR в перевернутом виде, чтобы избежать обнаружения;
• удаление исходного файла;
• создание cloud-backed file storage для проведения атаки.

Кульминацией эксплуатации становится выполнение вредоносной payload с повышенными привилегиями, что приводит к созданию interactive system shell в рамках пользовательского сеанса.

Кого затрагивает уязвимость

По данным отчета, RedSun затрагивает все современные системы Windows с Windows Defender, включая:

• Windows 10;
• Windows 11;
• Windows Server 2019 и более поздние версии.

Отмечается, что метод стабильно работает даже на системах, обновленных совсем недавно — в апреле 2026 года.

Статус защиты и риски

На данный момент для этой уязвимости не назначено ни исправление, ни официальный CVE. Это оставляет существенный пробел в защите и делает проблему особенно опасной для корпоративной инфраструктуры и конечных пользователей.

Поскольку эксплуатация не требует административных прав и использует доверенные компоненты Windows, обнаружение и предотвращение атаки могут быть затруднены без дополнительного мониторинга.

Рекомендации по снижению риска

В отчете перечислены меры, которые могут помочь выявить попытки эксплуатации до успешной компрометации:

• мониторинг необычной активности по перечислению VSS со стороны non-system processes;
• отслеживание неожиданных file write operations, исходящих от процессов Defender;
• контроль за созданием reparse point и mount point links во временных каталогах.

По мнению авторов отчета, именно такие indicators of compromise способны помочь заметить атаку на ранней стадии и предотвратить захват системы.