Ein öffentlich verfügbarer Zero-Day-Exploit namens „RedSun“ ermöglicht es einem unprivilegierten lokalen Benutzer, auf vollständig gepatchten Windows-Systemen SYSTEM-Rechte zu erlangen. Einen Fix gibt es bisher nicht. Sicherheitsforscher bestätigen aktive Angriffe.

Was ist passiert?

Ein anonymer Sicherheitsforscher, der unter den Pseudonymen „Chaotic Eclipse“ und „Nightmare-Eclipse“ auftritt, veröffentlichte am 15. April 2026 den Proof-of-Concept-Exploit „RedSun“ auf GitHub. Es ist bereits sein zweiter öffentlicher Windows-Zero-Day innerhalb von zwei Wochen. Den Vorgänger „BlueHammer“ hatte er am 7. April 2026 veröffentlicht, mutmaßlich aus Frust über den Umgang des Microsoft Security Response Center mit eingereichten Schwachstellenmeldungen. BlueHammer wurde von Microsoft inzwischen als CVE-2026-33825 (CVSS 7.8) im Rahmen des April-Patchdays geschlossen. RedSun ist davon unabhängig und bleibt ungepatcht.

Wie funktioniert der Angriff?

RedSun missbraucht einen Logikfehler in Windows Defenders Datei-Wiederherstellungsmechanismus. Wenn Defender eine Datei mit einem sogenannten Cloud-Tag erkennt, schreibt er diese an ihren ursprünglichen Speicherort zurück, ohne zu prüfen, ob dieser Pfad in der Zwischenzeit umgeleitet wurde.

Der Exploit nutzt genau dieses Verhalten aus und kombiniert vier legitime Windows-Funktionen zu einer Angriffskette:

– Der Angreifer legt eine präparierte Datei mit Cloud-Tag über die Windows Cloud Files API (cldapi.dll) an.
– Ein Opportunistic Lock (OPLOCK) hält Defenders Schreiboperation an einem exakten Punkt an.
– Über einen NTFS-Junction-Point (Verzeichnis-Symlink) wird Defenders Zielpfad auf C:\Windows\System32 umgeleitet.
– Wenn Defender den Schreibvorgang fortsetzt, platziert er eine vom Angreifer kontrollierte Datei direkt im Systemverzeichnis, etwa über TieringEngineService.exe.

Sobald das Betriebssystem die überschriebene Systemdatei ausführt, erhält der Angreifer SYSTEM-Rechte. Kein Administratorkonto, keine Kernel-Lücke und keine Benutzerinteraktion sind dafür nötig. Principal Vulnerability Analyst Will Dormann (Tharros) bestätigte, dass der Exploit auf vollständig gepatchten Systemen mit Windows 10 und Windows 11 zuverlässig funktioniert.

Lage verschärft sich: Dritter Exploit und aktive Angriffe

Derselbe Autor hat zusätzlich einen dritten Exploit namens „UnDefend“ veröffentlicht. Dieser erlaubt es einem normalen Benutzer, Windows Defender zu deaktivieren oder ihn dauerhaft von Signatur-Updates abzuschneiden, während die Defender-Konsole weiterhin „aktiv und aktuell“ anzeigt. Auch für UnDefend steht kein Patch bereit.

Die Sicherheitsforscher von HuntressLabs bestätigten am 16. April aktive Angriffe auf alle drei Exploits in freier Wildbahn. Für Angreifer ist die Kombination aus RedSun und UnDefend besonders attraktiv: RedSun verschafft SYSTEM-Rechte, UnDefend schaltet anschliessend den Schutzmechanismus aus.