Исследователь безопасности опубликовал эксплойт «доказательства концепции» для уязвимости «нулевого дня» Windows под названием MiniPlasma, которая позволяет злоумышленникам получать привилегии SYSTEM на полностью обновлённых системах Windows.
Эксплойт был опубликован исследователем, известным как Chaotic Eclipse. Он выложил на GitHub как исходный код, так и скомпилированный исполняемый файл после заявления о том, что Microsoft не устранила должным образом ранее обнаруженную уязвимость 2020 года.
Запуск эксплойта MiniPlasma приводит к получению привилегий SYSTEM в Windows
По словам исследователя, проблема затрагивает драйвер Cloud Filter cldflt.sys и связанную с ним функцию HsmOsBlockPlaceholderAccess. Изначально уязвимость была обнаружена и передана Microsoft исследователем Google Project Zero Джеймсом Форшоу (James Forshaw) в сентябре 2020 года. Тогда уязвимости был присвоен идентификатор CVE-2020-17103, а Microsoft сообщила об исправлении проблемы в декабре 2020 года.
Chaotic Eclipse заявил:
После расследования выяснилось, что та же самая проблема, о которой Google Project Zero сообщил Microsoft, по-прежнему присутствует и остаётся неисправленной.
Я не уверен, Microsoft вообще никогда не исправляла эту уязвимость или исправление было в какой-то момент тихо откатано по неизвестным причинам. Оригинальный PoC от Google работал без каких-либо изменений.
При тестировании эксплойта, после запуска открылось окно командной строки с привилегиями SYSTEM.
Уилл Дорманн (Will Dormann), ведущий аналитик уязвимостей в Tharros Labs, также подтвердил работоспособность эксплойта в своих тестах на последней публичной версии Windows 11. Однако он отметил, что уязвимость не работает в последней инсайдерской сборке Windows 11 Insider Preview Canary.
Эксплойт использует особенности обработки создания ключей реестра драйвером Windows Cloud Filter через недокументированный API CfAbortHydration. В оригинальном отчёте Форшоу говорилось, что уязвимость позволяет создавать произвольные ключи реестра в пользовательском hive .DEFAULT без надлежащих проверок доступа, что потенциально может приводить к повышению привилегий.
Хотя Microsoft сообщала об устранении этой ошибки в рамках «Вторника Патчей» (Patch Tuesday) за декабрь 2020 года, Chaotic Eclipse теперь утверждает, что уязвимость по-прежнему может быть использована.
Исследователь обнаружил целый ряд уязвимостей «нулевого дня» Windows
MiniPlasma стала очередной в серии публикаций Windows-уязвимостей «нулевого дня», которые исследователь раскрывал на протяжении последних нескольких недель.
Серия раскрытий началась в апреле с BlueHammer — уязвимости локального повышения привилегий Windows, отслеживаемой под идентификатором CVE-2026-33825. Затем последовали ещё одна уязвимость повышения привилегий под названием RedSun и инструмент для DoS-атак на Windows Defender — UnDefend.
После публикации все три уязвимости были замечены в эксплуатации в реальных атаках. По словам исследователя, Microsoft тихо исправила проблему RedSun, не присвоив ей идентификатор CVE.
В этом месяце исследователь также опубликовал ещё два эксплойта под названиями YellowKey и GreenPlasma.
YellowKey представляет собой обход защиты BitLocker, затрагивающий Windows 11 и Windows Server 2022/2025. Эксплойт запускает командную оболочку, предоставляющую доступ к разблокированным дискам, защищённым конфигурацией BitLocker с использованием только TPM.
Ранее Chaotic Eclipse заявлял, что публично раскрывает эти Windows-уязвимости «нулевого дня» в знак протеста против работы программы bug bounty Microsoft и процесса обработки сообщений об уязвимостях.
Microsoft, в свою очередь, сообщила, что поддерживает координированное раскрытие уязвимостей и привержена расследованию сообщений о проблемах безопасности, а также защите пользователей с помощью обновлений.