RedSun: zero-day per Windows Defender scavalca tutte le protezioni (aggiornato: 17 aprile 2026, ore 08:18)

Il software che dovrebbe proteggerti diventa il vettore d'attacco. È il paradosso al centro di RedSun, un exploit proof-of-concept pubblicato il 15 aprile 2026 che trasforma il processo di rimedio di Windows Defender in un meccanismo di scrittura arbitraria di file con privilegi massimi (SYSTEM). La vulnerabilità, ancora senza patch al momento della pubblicazione, colpisce Windows 10, Windows 11 e Windows Server 2019 e versioni successive - anche con gli aggiornamenti di aprile 2026 regolarmente installati. A renderla pubblica è un ricercatore noto con l'alias Chaotic Eclipse (account GitHub: Nightmare-Eclipse), che nel giro di tredici giorni ha rilasciato tre exploit distinti contro il motore antivirus integrato di Microsoft.

Come funziona RedSun

Il cuore della vulnerabilità sta in un comportamento di Defender che il ricercatore definisce un difetto di progettazione. Quando l'antivirus rileva un file contrassegnato con un tag cloud - cioè una firma proveniente dall'infrastruttura cloud di Microsoft - riscrive il file nella sua posizione originale come parte del processo di rimedio.

RedSun sfrutta esattamente questa riscrittura per sovrascrivere file di sistema e ottenere privilegi SYSTEM.

La catena tecnica, analizzata in dettaglio da Will Dormann, Principal Vulnerability Analyst per l'azienda specializzata in sicurezza Tharros, funziona così: l'exploit usa la Cloud Files API per scrivere una stringa EICAR - il classico marcatore di test per antivirus - all'interno di un file. Dopodiché impiega un oplock per vincere una race condition legata alle copie shadow del volume. Una directory junction redirige la riscrittura di Defender verso C:\Windows\system32\TieringEngineService.exe. L'infrastruttura Cloud Files esegue poi il file piazzato dall'attaccante - in pratica l'eseguibile RedSun.exe rinominato - con privilegi SYSTEM.

Il risultato: escalation di privilegi locale completa. Un utente senza permessi amministrativi ottiene il massimo livello di accesso al sistema operativo.

Verifica indipendente

Dormann ha confermato a BleepingComputer che l'exploit funziona su sistemi Windows aggiornati.

C'è una nota sul rilevamento: alcuni motori antivirus su VirusTotal intercettano il PoC per via della stringa EICAR incorporata, ma Dormann ha verificato che i rilevamenti calano drasticamente dopo aver cifrato quella stringa all'interno dell'eseguibile. Non è un ostacolo per chi sa quello che sta facendo.

Un'analisi tecnica dettagliata è stata pubblicata anche dal ricercatore di sicurezza noto come Kevlar.

Il contesto: tre exploit in tredici giorni

RedSun non è un episodio isolato. È il terzo di una serie di exploit mirati a Defender rilasciati dallo stesso ricercatore in poco meno di due settimane.

• BlueHammer (7 aprile): escalation di privilegi locale tramite una race condition nella logica di rimedio file di Defender. Tracciata come CVE-2026-33825, con un punteggio CVSS di 7.8 su 10. Corretta con il Patch Tuesday di aprile 2026.
• UnDefend: un exploit che interferisce con il meccanismo di aggiornamento di Defender, indebolendone gradualmente la protezione nel tempo.
• RedSun (15 aprile): la vulnerabilità oggetto di questo articolo. Non ancora corretta.

» Leggi anche: BlueHammer: exploit zero-day per Windows pubblicato su GitHub

Un dettaglio non secondario: quando Microsoft ha corretto BlueHammer, non ha accreditato Chaotic Eclipse. Il merito è andato ai ricercatori Zen Dodd e Yuanpei XU. È da lì che parte tutto il resto.

La motivazione dichiarata

Chaotic Eclipse presenta questi rilasci come una forma di protesta contro il trattamento riservato da Microsoft ai ricercatori indipendenti. Sostiene che l'azienda gli abbia detto che «avrebbe rovinato la mia vita» - e che abbia poi dato seguito alla minaccia. Il tono delle dichiarazioni pubbliche è tutt'altro che ambiguo: «Non volevo essere malvagio, ma mi stanno attivamente provocando a iniziare a rilasciare RCE, cosa che farò a un certo punto… Mi assicurerò personalmente che diventi più divertente ogni volta che Microsoft rilascia una patch».

Parole da prendere sul serio. Il PoC attuale dimostra solo un'escalation di privilegi locale, ma gli analisti segnalano che può essere modificato per ottenere esecuzione remota di codice (RCE) in determinate configurazioni. La minaccia esplicita di rilasciare exploit RCE in futuro non è retorica: alza la posta in modo concreto.

La risposta di Microsoft

Al momento della pubblicazione, non esiste alcuna patch che protegga da RedSun. Microsoft Security Response Center ha rilasciato una dichiarazione generica sull'impegno per la protezione dei clienti e la divulgazione coordinata, rifiutando di commentare le accuse specifiche del ricercatore.

È difficile non notare il contrasto: il codice dell'exploit è già pubblico su GitHub, funziona su sistemi aggiornati, e la risposta ufficiale è un comunicato boilerplate.

Cosa fare adesso

Le opzioni immediate per chi gestisce sistemi Windows sono poche, ma non zero. Applicare gli aggiornamenti del di aprile 2026 è il punto di partenza: copre BlueHammer, non RedSun. I team di sicurezza dovrebbero valutare di restringere i privilegi amministrativi di Windows Defender in attesa di una correzione specifica. Tenere d'occhio i forum underground per eventuali varianti armate dell'exploit è una precauzione ragionevole.

Il problema però più profondo. Windows Defender opera con accesso privilegiato al sistema operativo - esecuzione elevata, fiducia implicita, visibilità totale. Quando quel posizionamento viene sfruttato da un difetto nel flusso di rimedio, lo strumento di difesa si trasforma nella superficie d'attacco. Con un ricercatore dichiaratamente ostile che ha già dimostrato di mantenere le promesse, la pressione su Microsoft per una risposta sostanziale - non comunicati, patch vere - si fa ogni giorno più difficile da ignorare.

Fonti: picussecurity.com, bleepingcomputer.com, cybernews.com