RedSun: il Zero-Day che Trasforma Windows Defender in un Vettore di Attacco
RedSun è un exploit zero-day per Windows Defender pubblicato il 16 aprile 2026 dal ricercatore noto come “Chaotic Eclipse”: consente a qualsiasi utente locale non privilegiato di ottenere accesso SYSTEM su Windows 10, Windows 11 e Windows Server completamente aggiornati. Al momento non esiste alcuna patch ufficiale. Aggiornato ad aprile 2026.
Will Dormann, principal vulnerability analyst di Tharros, ha confermato a BleepingComputer che il proof-of-concept funziona su un Windows 11 con tutte le patch di aprile 2026 applicate. Il meccanismo è tanto semplice quanto paradossale: è Defender stesso, con la sua protezione in tempo reale attiva, a riscrivere un file malevolo con privilegi SYSTEM dentro C:\Windows\System32. L’antivirus come arma è la definizione perfetta di RedSun.
È il secondo zero-day in tredici giorni targettizzato su Windows Defender dallo stesso ricercatore, dopo BlueHammer (CVE-2026-33825), già patchato da Microsoft nel Patch Tuesday di aprile 2026. Questa volta, però, la patch non esiste ancora. Vediamo perché questa vulnerabilità è tecnicamente più sofisticata, cosa significa per la superficie di attacco di miliardi di dispositivi Windows, e cosa puoi fare adesso per mitigare il rischio.
⚡ TL;DR — RedSun Zero-Day in 30 secondi
- RedSun è un zero-day di Windows Defender che concede privilegi SYSTEM senza patch disponibile (aprile 2026).
- Sfrutta la logica difettosa di Defender sui file con cloud tag: l’antivirus riscrive il file malevolo in
System32con i propri privilegi elevati. - Colpisce Windows 10, Windows 11 e Windows Server completamente aggiornati con Defender attivo.
- È il secondo exploit in 13 giorni dallo stesso ricercatore, dopo BlueHammer (CVE-2026-33825, già patchato).
- Mitigazione immediata: disabilitare temporaneamente Cloud-Delivered Protection, monitorare operazioni anomale via Sysmon/EDR su
cldapi.dll.
📄 Indice dei contenuti
Cos’è RedSun: Quando l’Antivirus Diventa il Problema
RedSun è una vulnerabilità di tipo Elevation of Privilege (EoP), nota anche come Local Privilege Escalation (LPE), che risiede nel meccanismo di gestione dei cloud file di Windows Defender. Un attaccante con accesso locale non privilegiato al sistema può sfruttarla per eseguire codice arbitrario con privilegi SYSTEM, il livello di accesso più elevato del sistema operativo Windows, superiore anche a quello di Administrator.
Il nome è scelto dal ricercatore stesso: come BlueHammer evocava un colpo brutale, RedSun richiama qualcosa di più sottile e pervasivo. L’ironia tecnica è deliberata: è proprio Windows Defender, il software pensato per proteggere il sistema, a consegnare all’attaccante le chiavi del sistema. Come riportato da BleepingComputer, lo stesso ricercatore ha descritto la logica difettosa così: “When Windows Defender realizes that a malicious file has a cloud tag, for whatever stupid and hilarious reason, the antivirus that’s supposed to protect decides that it is a good idea to just rewrite the file it found again to its original location.”
La vulnerabilità è documentata tecnicamente da Picus Security e confermata in modo indipendente da Will Dormann di Tharros. Il codice sorgente del PoC è disponibile pubblicamente su GitHub (repository Nightmare-Eclipse/RedSun), rendendo il rischio di weaponizzazione da parte di threat actor concreto e immediato.
Definizione tecnica:
RedSun è un exploit di tipo Local Privilege Escalation (LPE) che abusa della logica di ripristino dei file cloud-tagged in Windows Defender per redirigere operazioni di scrittura con privilegi SYSTEM verso directory di sistema protette, senza richiedere interazione utente o privilegi preesistenti.
Come Funziona l’Exploit RedSun: Analisi Tecnica
La comprensione di RedSun richiede familiarità con due componenti di Windows che raramente si analizzano insieme: il sistema di protezione in tempo reale di Defender e le Windows Cloud Files API (CfApi), l’interfaccia usata da servizi come OneDrive per gestire i file in stato “placeholder” — presenti nel cloud ma non ancora scaricati localmente.
Il Meccanismo dei Cloud Tag in Windows Defender
Quando Windows Defender esegue una scansione e rileva un file malevolo, avvia la propria procedura di remediation. Se il file porta un cloud tag — un metadato assegnato dalla CfApi che identifica il file come appartenente a un provider cloud come OneDrive — Defender interpreta questa condizione in modo anomalo: invece di procedere con la sola quarantena, assume che il file possa essere stato “corrotto durante la sincronizzazione” e decide di riscriverlo nella sua posizione originale.
Questa è la falla logica centrale: Defender non valida il percorso di destinazione prima di eseguire la scrittura. Il suo contesto di esecuzione è SYSTEM. Quindi qualsiasi file scritto in questa fase eredita i privilegi di SYSTEM, indipendentemente da dove viene scritto.
NTFS Junction, Oplock e l’Escalation a SYSTEM32
L’exploit RedSun sfrutta questa finestra temporale con due tecniche di filesystem manipulation, descritte nell’analisi tecnica di Picus Security:
- Batch Oplock (Opportunistic Lock): un meccanismo legittimo di Windows che permette a un processo di mettere in pausa un’operazione su un file. RedSun usa un oplock sul Volume Shadow Copy (VSS) creato da Defender come primo step della remediation: non appena Defender crea lo snapshot VSS, l’exploit acquisisce l’oplock e congela l’esecuzione di Defender.
- NTFS Junction (symlink di directory): con Defender in pausa, l’exploit rimuove il file-esca originale e crea al suo posto un cloud placeholder tramite CfApi, poi redirige la directory di destinazione verso
C:\Windows\System32tramite una junction NTFS. Quando Defender riprende l’operazione, segue il percorso rediretto e scrive il payload con privilegi SYSTEM direttamente in System32.
Il risultato pratico: un eseguibile controllato dall’attaccante viene depositato in System32 con ACL permissivi — Defender non applica le restrizioni di System32 perché non si accorge della redirezione — permettendo di sovrascrivere un binary di sistema e ottenere esecuzione di codice SYSTEM.
| Componente | Ruolo nell’exploit |
|---|---|
| Cloud Files API (CfApi) | Assegna il cloud tag al file-esca per attivare la logica difettosa di Defender |
| Volume Shadow Copy (VSS) | Segnale di timing: la sua creazione indica che Defender ha avviato la remediation |
| Batch Oplock | Pausa l’esecuzione di Defender per dare tempo alla redirezione del percorso |
| NTFS Junction | Redirige il percorso di scrittura verso C:\Windows\System32 |
| Defender (SYSTEM context) | Esegue la scrittura con privilegi SYSTEM, ignaro della redirezione |
BlueHammer vs RedSun: Due Zero-Day in Tredici Giorni
Per comprendere il contesto di RedSun è essenziale confrontarlo con BlueHammer, il suo predecessore. Entrambi sono stati pubblicati dallo stesso ricercatore nell’arco di tredici giorni nell’aprile 2026, ma presentano vettori di attacco distinti e uno stato di patch diverso.
| Caratteristica | BlueHammer | RedSun |
|---|---|---|
| Data disclosure | 7 aprile 2026 | 15-16 aprile 2026 |
| CVE assegnato | CVE-2026-33825 (CVSS 7.8) | Non ancora assegnato |
| Patch disponibile | Sì — Patch Tuesday aprile 2026 | No — nessuna patch |
| Tipo di vulnerabilità | LPE tramite logica di remediation file | LPE tramite cloud tag + NTFS junction |
| Vettore indipendente | Sì | Sì — funziona anche post-patch BlueHammer |
| Sistemi colpiti | Win 10, Win 11, Server | Win 10, Win 11, Server |
Come riportato da Picus Security, nel solo mese di aprile 2026 sono stati divulgati almeno tre exploit distinti contro Windows Defender: BlueHammer, UnDefend (che degrada progressivamente il meccanismo di aggiornamento di Defender) e RedSun. Il pattern suggerisce debolezze architetturali sistemiche in Defender, non falle isolate.
Chi gestisce ambienti Windows aziendali può correlare questi eventi con i log di sistema tramite l’analisi degli Event ID nel Visualizzatore eventi di Windows 11, cercando in particolare operazioni anomale di scrittura da parte del processo MsMpEng.exe verso directory di sistema.
Perché Chaotic Eclipse ha Pubblicato RedSun in Chiaro
La scelta di rilasciare un PoC funzionante senza coordinarsi preventivamente con Microsoft non è casuale: il ricercatore ha dichiarato apertamente che si tratta di una protesta contro le modalità con cui Microsoft gestisce le segnalazioni al proprio Microsoft Security Response Center (MSRC).
Il caso specifico è emblematico: BlueHammer, il primo zero-day pubblicato da Chaotic Eclipse, è stato corretto da Microsoft nel Patch Tuesday di aprile 2026 come CVE-2026-33825 — ma Microsoft ha accreditato la scoperta ai ricercatori Zen Dodd e Yuanpei XU, non a Chaotic Eclipse. Secondo CyberNews, il ricercatore ha descritto la propria esperienza con Microsoft come essere stati completamente ignorati nonostante la segnalazione originale, scegliendo il full disclosure immediato come risposta.
È un dibattito antico nel mondo della vulnerability research: il responsible disclosure è spesso presentato come l’approccio etico, ma presuppone che il vendor risponda in modo trasparente e tempestivo. Quando questa fiducia si rompe, alcuni ricercatori scelgono il full disclosure immediato — con tutto ciò che comporta in termini di rischio per gli utenti finali prima che una patch sia disponibile.
Il tema non è nuovo. Google Project Zero, ioActive e decine di ricercatori indipendenti hanno storicamente utilizzato il full disclosure come leva per accelerare i cicli di patching dei vendor. La questione etica rimane aperta: il danno potenziale agli utenti non patchati supera il beneficio della pressione sul vendor?
Il monitoraggio proattivo con Sysmon su Windows 11 permette di rilevare comportamenti anomali come la creazione di NTFS junction in directory temporanee o operazioni oplock su Volume Shadow Copy, entrambi indicatori di potenziale exploit RedSun in esecuzione.
Versioni Vulnerabili e Stato delle Patch
Secondo Prothect.it e CyberSecurityNews, le versioni vulnerabili per BlueHammer (CVE-2026-33825) includevano la piattaforma antimalware di Microsoft Defender fino alla versione 4.18.26020.6. La patch applicata con il Patch Tuesday di aprile 2026 ha portato la versione corretta alla 4.18.26030.3011 o superiore.
⚠️ Stato patch RedSun — Aprile 2026
RedSun non ha ancora un CVE assegnato né una patch ufficiale disponibile alla data di pubblicazione di questo articolo (17 aprile 2026). I sistemi Windows 10, Windows 11 e Windows Server con Defender attivo sono vulnerabili indipendentemente dall’applicazione delle patch di aprile 2026 per BlueHammer.
Per verificare la versione di Windows Defender installata sul proprio sistema:
- Aprire Sicurezza di Windows → Impostazioni → Informazioni
- Verificare la voce Versione piattaforma antimalware
- In alternativa, da PowerShell:
Get-MpComputerStatus | Select-Object AMProductVersion
È buona prassi verificare che gli aggiornamenti automatici di Windows siano correttamente configurati: se hai mai modificato le policy di aggiornamento su Windows 11, assicurati che Defender riceva comunque le definizioni e gli aggiornamenti di piattaforma anche in presenza di policy di deferral configurate su Windows Update.
Come Proteggersi da RedSun Adesso
In assenza di una patch ufficiale, le misure di mitigazione disponibili sono parziali ma significative. I team di sicurezza endpoint e i professionisti IT possono adottare le seguenti contromisure, indicate da CyberSecurityNews e Picus Security:
- Disabilitare temporaneamente Cloud-Delivered Protection: Sicurezza di Windows → Protezione da virus e minacce → Impostazioni protezione da virus → disattiva Protezione fornita dal cloud. Questa opzione rimuove il trigger principale dell’exploit, a costo di una riduzione della capacità di rilevamento real-time di Defender per minacce nuove.
- Implementare regole EDR per rilevare oplock su VSS: Configurare alerting su operazioni oplock (in particolare batch oplock) originate da processi non di sistema sui Volume Shadow Copy, e su NTFS junction create in directory
%TEMP%che puntano verso path sottoC:\Windows\System32. - Monitorare operazioni anomale di cldapi.dll: Rilevare scritture verso
C:\Windows\System32originate daMsMpEng.exetramite Sysmon Event ID 11 (FileCreate) o regole YARA/Sigma equivalenti. - Principio del minimo privilegio — accesso locale: RedSun richiede accesso locale al sistema. Ridurre la superficie di attacco limitando gli account con accesso locale interattivo, specialmente in ambienti server e workstation condivise.
- Applicare le patch di aprile 2026: Anche se non risolvono RedSun, le patch del Patch Tuesday di aprile 2026 correggono BlueHammer (CVE-2026-33825, CVSS 7.8) e altri CVE critici. Non applicarle lascia i sistemi vulnerabili a entrambi gli exploit.
È fondamentale sottolineare che nessuna di queste misure elimina completamente il rischio RedSun: l’unica soluzione definitiva sarà una patch Microsoft. Monitora il Microsoft Security Response Center (msrc.microsoft.com) per aggiornamenti ufficiali su questa vulnerabilità.
🎬 Vuoi approfondire questo argomento?
Ho realizzato un video dedicato su YouTube @tuttelevitediunmaker dove analizzo le vulnerabilità di Windows Defender — zero-day, tecniche di exploit e come un blue team può rilevarle prima che sia troppo tardi. Se vuoi supportare questo progetto e accedere a contenuti esclusivi, trovi tutto su Patreon.
#tuttelevitediunmaker
FAQ — Domande Frequenti su RedSun e Windows Defender
Cos’è il zero-day RedSun di Windows Defender?
RedSun è una vulnerabilità di tipo Local Privilege Escalation (LPE) in Windows Defender, divulgata il 16 aprile 2026 dal ricercatore Chaotic Eclipse, priva di patch ufficiale al momento della pubblicazione. Sfrutta la logica difettosa con cui Defender gestisce i file con cloud tag per scrivere payload malevoli in C:\Windows\System32 con privilegi SYSTEM. Il PoC funzionante è pubblicamente disponibile su GitHub al repository Nightmare-Eclipse/RedSun.
I sistemi aggiornati con le patch di aprile 2026 sono al sicuro da RedSun?
No. Le patch del Patch Tuesday di aprile 2026 correggono BlueHammer (CVE-2026-33825) ma non RedSun, che sfrutta un vettore di attacco completamente indipendente. Un sistema Windows 10 o Windows 11 completamente aggiornato con tutte le patch di aprile 2026 rimane vulnerabile a RedSun se Windows Defender è attivo con la Cloud-Delivered Protection abilitata.
Come funziona tecnicamente l’exploit RedSun?
RedSun crea un file-esca con cloud tag in %TEMP%, attivando la procedura di remediation di Defender. Non appena Defender crea un Volume Shadow Copy, l’exploit acquisisce un batch oplock per congelare l’operazione, crea una NTFS junction che redirige il percorso verso C:\Windows\System32, poi rilascia l’oplock. Defender riprende e scrive il file con privilegi SYSTEM direttamente in System32, concedendo all’attaccante esecuzione di codice privilegiata.
Cosa posso fare subito per proteggermi da RedSun?
La misura più efficace in attesa di una patch è disabilitare la Cloud-Delivered Protection in Windows Defender (Sicurezza di Windows → Protezione da virus e minacce → Impostazioni protezione → disattiva “Protezione fornita dal cloud”). Questa azione rimuove il trigger principale dell’exploit. I team SOC dovrebbero inoltre implementare regole su operazioni oplock su VSS e scritture anomale di MsMpEng.exe verso System32.
RedSun può essere sfruttato da remoto?
No. RedSun ha vettore di attacco locale: richiede che l’attaccante abbia già accesso fisico o remoto autenticato al sistema target, ad esempio tramite un account utente standard o accesso RDP. Non è un exploit da internet senza autenticazione. Tuttavia, in scenari di lateral movement post-compromise o in ambienti con workstation condivise, la minaccia è concreta e immediata.
Esiste un CVE ufficiale per RedSun?
Al 17 aprile 2026, Microsoft non ha ancora assegnato un CVE a RedSun. Il CVE-2026-33825 si riferisce esclusivamente a BlueHammer, il precedente zero-day dello stesso ricercatore, già patchato. La gestione ufficiale di RedSun da parte del Microsoft Security Response Center (MSRC) è ancora in corso.
Conclusione
RedSun è un promemoria brutale: la superficie di attacco più pericolosa non è sempre quella esterna. Un antivirus con privilegi SYSTEM, una logica di gestione dei file cloud non validata, e un ricercatore con le competenze giuste producono una LPE che colpisce ogni sistema Windows con Defender attivo, completamente aggiornato, senza patch disponibile. La catena BlueHammer → UnDefend → RedSun in tredici giorni suggerisce che i problemi architetturali in Defender siano più profondi di quanto Microsoft abbia finora ammesso pubblicamente.
Le misure di mitigazione descritte in questo articolo sono efficaci ma temporanee. L’unica soluzione definitiva sarà una patch ufficiale Microsoft: monitora il MSRC e applicala non appena disponibile. Nel frattempo, hai già configurato il monitoraggio Sysmon per rilevare operazioni oplock anomale e junction su VSS? Se no, è il momento giusto per farlo — e se la tua organizzazione usa Windows Defender come unico layer di protezione endpoint, forse è anche il momento di riconsiderare quella scelta.
#tuttelevitediunmaker
tuttelevitediunmaker
Professionista IT | Specialista AI & Cybersecurity | Creator YouTube
Professionista IT con anni di esperienza operativa nel settore energetico e utility, con specializzazione in intelligenza artificiale, cybersecurity e sistemi embedded. Analizza vulnerabilità, exploit e tecnologie AI applicate per un pubblico che va dal professionista IT enterprise all’appassionato di tecnologia avanzata.