Een beveiligingsonderzoeker onder de naam "Chaotic Eclipse" heeft een proof-of-concept exploit vrijgegeven voor een tweede zero-day kwetsbaarheid in Microsoft Defender, genaamd "RedSun". Deze lokale privilege-escalatie (LPE) kwetsbaarheid maakt het mogelijk om SYSTEM-rechten te verkrijgen op Windows 10, Windows 11 en Windows Server, zelfs op systemen die volledig zijn bijgewerkt met de nieuwste patches van april 2026, mits Windows Defender is ingeschakeld.

Volgens de onderzoeker zorgt Windows Defender er, zodra het een kwaadaardig bestand met een cloudtag detecteert, er op een onverklaarbare manier voor dat het antivirusprogramma het bestand opnieuw naar de oorspronkelijke locatie overschrijft. Deze gedraging wordt door de exploit misbruikt om systeem bestanden te overschrijven en zo administratieve rechten te verkrijgen. Meer details over deze methode zijn te vinden in de uitleg van de onderzoeker.

Will Dormann, principal vulnerability analyst bij Tharros, bevestigde aan BleepingComputer dat de exploit werkt en SYSTEM-privileges verleent op volledig gepatchte versies van Windows 10, Windows 11 en Windows Server 2019 en later. In een thread op Mastodon beschrijft Dormann hoe de exploit gebruikmaakt van de Cloud Files API, een race-condition in volume shadow copies en een directory junction om een kwaadaardig bestand te plaatsen dat vervolgens als SYSTEM wordt uitgevoerd, wat het systeem volledig overneemt.

Enkele antivirusprogramma's detecteren de exploit doordat het uitvoerbare bestand een ingebedde EICAR-teststring bevat, maar Dormann wist het detectieniveau te verlagen door deze string te versleutelen. Vorige week publiceerde dezelfde onderzoeker ook een exploit voor een andere Microsoft Defender zero-day, "BlueHammer", die inmiddels als CVE-2026-33825 wordt gevolgd en door Microsoft is opgelost in de april-patch.

De onderzoeker gaf aan dat de publicatie van beide zero-day proof-of-concepts een protest is tegen de wijze waarop Microsoft samenwerkt met beveiligingsonderzoekers die kwetsbaarheden melden aan het Microsoft Security Response Center (MSRC). Volgens de onderzoeker kreeg hij te maken met bedreigingen en onprofessioneel gedrag vanuit Microsoft, wat hij beschrijft in een uitgebreide verklaring. Microsoft reageerde op vragen hierover met de mededeling dat zij zich inzetten om gerapporteerde beveiligingsproblemen te onderzoeken en zo snel mogelijk updates uit te brengen, en dat zij coördinatie van kwetsbaarheidsmeldingen ondersteunen om zowel klanten als de beveiligingsgemeenschap te beschermen.