Will Dormann, leitender Schwachstellenanalyst bei Tharros, bestätigte gegenüber BleepingComputer, dass der Exploit für die neue Defender-Lücke „RedSun" funktioniert und unter vollständig gepatchtem Windows 10, Windows 11 sowie Windows Server 2019 und neuer SYSTEM-Rechte verschafft.
Dormann beschrieb den Ablauf in einem Beitrag auf Mastodon: Der Exploit nutze die „Cloud Files API", schreibe damit die Antiviren-Testdatei EICAR in eine Datei, gewinne mithilfe eines sogenannten Oplocks ein Wettrennen um eine Volumeschattenkopie und leite das Zurückschreiben der Datei über einen Verzeichnis-Junction- beziehungsweise Reparse-Point auf C:\Windows\system32\TieringEngineService.exe um. Anschließend führe die Cloud-Files-Infrastruktur die vom Angreifer platzierte TieringEngineService.exe – also den eigentlichen RedSun-Exploit – mit SYSTEM-Rechten aus.
Laut Dormann erkennen einige Antiviren-Anbieter auf VirusTotal den Exploit, weil die ausführbare Datei eine eingebettete EICAR-Testdatei enthält. Durch Verschlüsselung der EICAR-Zeichenkette innerhalb der Datei habe er die Zahl der Erkennungen reduziert. Eine ausführlichere technische Beschreibung der Schwachstelle stammt vom Sicherheitsforscher Kevlar.
Bereits zuvor hatte „Chaotic Eclipse" einen Exploit für eine andere Defender-Schwachstelle zur lokalen Rechteausweitung veröffentlicht. Diese trägt den Namen „BlueHammer" und wird inzwischen unter der Kennung CVE-2026-33825 geführt. Microsoft hat die Lücke mit den Sicherheitsupdates des aktuellen Patchdays geschlossen.
Als Begründung für beide Veröffentlichungen nennt der Forscher den Umgang von Microsoft mit Sicherheitsforschern. Nach eigener Darstellung sei ihm vom Unternehmen persönlich gesagt worden, man werde sein Leben ruinieren – und das sei dann auch geschehen. Er habe den Eindruck gehabt, es nicht mit einem Großkonzern, sondern mit Leuten zu tun zu haben, die Spaß daran fänden, ihn leiden zu sehen; dies scheine eine gemeinsame Entscheidung gewesen zu sein. BleepingComputer hat den Forscher um weitere Einzelheiten zu seinem Kontakt mit dem MSRC gebeten.
Microsoft äußerte sich auf Anfrage zu den erhobenen Vorwürfen nicht direkt. Ein Sprecher erklärte, das Unternehmen habe sich gegenüber Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte so schnell wie möglich zu schützen. Zudem unterstütze man die koordinierte Offenlegung von Schwachstellen als etablierte Branchenpraxis, die sicherstelle, dass Probleme vor einer öffentlichen Bekanntgabe sorgfältig untersucht und behoben würden.
