A MiniPlasma nulladik napja RENDSZER-hozzáférést biztosít a teljesen foltozott Windows 11 alatt

A Chaotic Eclipse néven ismert kutató egy olyan működő Windows jogosultságnövelő exploitot tett közzé, amely teljes mértékben javított Windows 11 gépeken, beleértve a legutóbbi, május 2026-os Patch Tuesday frissítést futtató gépeket is, SYSTEM hozzáférést biztosít.

A MiniPlasma nevű exploitot a közelmúltban a forráskód és a lefordított futtatható fájl mellett a GitHub oldalon is közzétették. A BleepingComputer megerősítette, hogy az egy normál felhasználói fiókkal működik, és egy friss Windows 11 Pro telepítésen SYSTEM szintű parancssort nyit meg. Will Dormann, a Tharros biztonsági kutatója függetlenül ellenőrizte az eredményeket.

A hiba, amelyet 2020-ban kellett volna javítani

A hiba a Windows Cloud Filter meghajtójában, a cldflt.sys-ben, pontosabban a HsmOsBlockPlaceholderAccess nevű rutinban található. A hiba nem új. A Google Project Zero kutatója, James Forshaw 2020 szeptemberében jelentette ugyanezt a hibát a Microsoftnak, és a CVE-2020-17103 kódot kapta, amelyet állítólag még az év decemberében javítottak. A Chaotic Eclipse változatlanul futtatta Forshaw eredeti proof-of-conceptjét, és jelentése szerint úgy működött, ahogy van. "Nem vagyok biztos benne, hogy a Microsoft egyszerűen nem foltozta be a problémát, vagy a javítást ismeretlen okokból valamikor csendben visszavonták" - írta a kutató a nyilvánosságra hozatalhoz.

A kihasználás visszaél azzal, ahogyan a Cloud Filter illesztőprogram egy dokumentálatlan API-n keresztül kezeli a rendszerleíró kulcsok létrehozását, lehetővé téve egy szabványos felhasználó számára, hogy tetszőleges rendszerleíró kulcsokat hozzon létre a .DEFAULT felhasználói kaptárban a hozzáférési ellenőrzések nélkül, amelyeknek meg kellene akadályozniuk ezeket. Ez egy versenyfeltételt foglal magában, így a siker aránya változó, de a BleepingComputer's megerősített eredményei azt sugallják, hogy valós hardveren elég megbízható. Egyetlen kivétel: a legújabb Windows 11 Insider Preview Canary build-en nem működik.

Egy szándékos kampány része

A MiniPlasma egy újabb Windows nulladik napi felfedés a Chaotic Eclipse oldalról az elmúlt hat hétben. A kutató áprilisban kezdte a BlueHammerrel, a Windows Defender helyi jogosultság-emelkedési sebezhetőségével, amelyet a Microsoft az április 14-i Patch Tuesday-n CVE-2026-33825 néven foltozott be, alig néhány nappal azután, hogy április 3-án nyilvánosságra hozták. Ezt követte a RedSun, egy második LPE a Defenderben, amelyet a Microsoft állítólag csendben, CVE hozzárendelése nélkül javított. Az UnDefend, a Defender szolgáltatásmegtagadási eszköze, amely blokkolja a biztonsági definíciók frissítéseit, következett. Aztán a YellowKey, egy BitLocker-kikerülő, amely a WinRE helyreállítási környezeten keresztül oldja fel a titkosított meghajtók zárolását. Aztán a GreenPlasma, egy CTFMON keretrendszer jogosultságnövelő program, amelynek a kutató visszatartotta az exploit kódjának egy részét. Most pedig a MiniPlasma.

Mindhárom eredeti exploit, a BlueHammer, a RedSun és az UnDefend kihasználását a Huntress kutatói röviddel a nyilvánosságra hozatal után valós támadásokban is megerősítették. A kutató egyértelműen megmondta, hogy ezek miért kerültek nyilvánosságra: elégedetlenség azzal, ahogyan a Microsoft kezeli a bug bounty jelentéseket és a javítások ellenőrzését. A Microsoft nem kommentálta konkrétan a MiniPlasma-t. A vállalat korábban a BleepingComputer-nek azt mondta, hogy "támogatja az összehangolt sebezhetőségi közzétételt", mint széles körben elfogadott iparági gyakorlatot.