Dzień zerowy MiniPlasma daje dostęp do SYSTEMU na w pełni załatanym systemie Windows 11

Badacz znany jako Chaotic Eclipse opublikował działający exploit eskalacji przywilejów systemu Windows, który zapewnia dostęp do SYSTEMU na w pełni załatanych komputerach z systemem Windows 11, w tym tych z najnowszą aktualizacją z wtorku łatki 2026 maja.

Exploit, nazwany MiniPlasma, został niedawno opublikowany wraz z kodem źródłowym i skompilowanym plikiem wykonywalnym na GitHub. BleepingComputer potwierdził, że działa on na standardowym koncie użytkownika, otwierając wiersz polecenia na poziomie SYSTEM w świeżej instalacji systemu Windows 11 Pro. Badacz bezpieczeństwa Will Dormann z Tharros niezależnie zweryfikował wyniki.

Błąd, który miał zostać naprawiony w 2020 roku

Usterka znajduje się w sterowniku Windows Cloud Filter, cldflt.sys, a konkretnie w procedurze o nazwie HsmOsBlockPlaceholderAccess. Błąd nie jest nowy. Badacz Google Project Zero, James Forshaw, zgłosił ten sam błąd do Microsoftu we wrześniu 2020 roku i został on przypisany do CVE-2020-17103 i rzekomo załatany w grudniu tego samego roku. Chaotic Eclipse uruchomił oryginalny proof-of-concept Forshawa bez modyfikacji i donosi, że działał tak, jak jest. "Nie jestem pewien, czy Microsoft po prostu nigdy nie załatał tego błędu, czy też łatka została po cichu wycofana w pewnym momencie z nieznanych powodów" - napisał badacz w ujawnionym raporcie.

Exploit nadużywa sposobu, w jaki sterownik Cloud Filter obsługuje tworzenie kluczy rejestru za pośrednictwem nieudokumentowanego interfejsu API, umożliwiając standardowemu użytkownikowi tworzenie dowolnych kluczy rejestru w gałęzi użytkownika .DEFAULT bez kontroli dostępu, która powinna je powstrzymać. Wiąże się to z warunkiem wyścigu, więc wskaźnik sukcesu jest różny, ale BleepingComputer's potwierdzone wyniki sugerują, że jest wystarczająco niezawodny na prawdziwym sprzęcie. Jeden wyjątek: nie działa na najnowszej wersji systemu Windows 11 Insider Preview Canary.

Część celowej kampanii

MiniPlasma to kolejny ujawniony przez Chaotic Eclipse dzień zerowy w systemie Windows w ciągu ostatnich sześciu tygodni w ciągu ostatnich sześciu tygodni. Badacz rozpoczął w kwietniu od BlueHammer, lokalnej luki w zabezpieczeniach Windows Defender, którą Microsoft załatał 14 kwietnia w Patch Tuesday jako CVE-2026-33825, zaledwie kilka dni po jej publicznym ujawnieniu 3 kwietnia. Następnie pojawiła się RedSun, druga luka LPE w Defenderze, którą Microsoft podobno naprawił po cichu bez przypisywania CVE. UnDefend, narzędzie typu denial-of-service w Defenderze, które blokuje aktualizacje definicji bezpieczeństwa, było następne. Następnie YellowKey, obejście funkcji BitLocker, które odblokowuje zaszyfrowane dyski za pośrednictwem środowiska odzyskiwania WinRE. Następnie GreenPlasma, eskalacja uprawnień frameworka CTFMON, dla której badacz zataił część kodu exploita. Teraz MiniPlasma.

Wszystkie trzy oryginalne exploity, BlueHammer, RedSun i UnDefend, zostały wykorzystane w prawdziwych atakach przez badaczy Huntress wkrótce po ich publicznym ujawnieniu. Badacz wyraźnie mówi, dlaczego zostały one opublikowane: niezadowolenie z tego, jak Microsoft obsługuje raporty o błędach i weryfikację poprawek. Microsoft nie skomentował konkretnie MiniPlasmy. Firma wcześniej powiedziała BleepingComputer, że "wspiera skoordynowane ujawnianie luk w zabezpieczeniach" jako powszechnie przyjętą praktykę branżową.