RedSun verschafft sich Adminrechte durch Race Condition

Der Exploit nutzt eine unsichere Verhaltensweise von Windows Defender und der Datei-API aus, um sich erhöhte Systemrechte zu verschaffen.

Mithilfe der sogenannten RedSun-Implementierung können Angreifer Administratorrechte auf Windows-Systemen erlangen. Dabei macht sich der Exploit sowohl die Cloud-Files-API als auch eine Schwachstelle in Windows Defender zunutze. Dadurch können während der Ausführung der Engine zur Beseitigung von Sicherheitsproblemen, Dateien überschrieben und höhere Privilegien erlangt werden.

Windows-Defender-Dateien können mithilfe eines Cloud-Tags und eines symbolischen Links neu geschrieben werden, wobei der ursprüngliche Dateipfad beibehalten wird. Der Exploit nutzt dies aus, indem er über die Cloud-Files-API eine Race Condition mit einer Schattenkopie erzeugt. Dadurch ist es möglich, eine ausführbare Datei im Windows-Systemverzeichnis zu platzieren.

Diese platzierte Datei kann anschließend verwendet werden, um erhöhte Systemrechte zu erlangen.

Der als „BlueHammer“ bekannte Fehler ist in aktuellen Versionen von Windows 10 und Windows 11 bislang noch nicht behoben.