Нулевой день MiniPlasma дает доступ к SYSTEM в полностью исправленной Windows 11

Исследователь под ником Chaotic Eclipse опубликовал рабочий эксплойт для повышения привилегий в Windows, который предоставляет доступ к SYSTEM на полностью исправленных машинах с Windows 11, включая те, на которых установлено последнее обновление May 2026 Patch Tuesday.

Эксплойт, получивший название MiniPlasma, был недавно опубликован вместе с исходным кодом и скомпилированным исполняемым файлом на GitHub. BleepingComputer подтвердил, что он работает под стандартной учетной записью пользователя, открывая командную строку уровня SYSTEM на свежей установке Windows 11 Pro. Исследователь безопасности Уилл Дорманн из Tharros независимо подтвердил результаты.

Ошибка, которая должна была быть исправлена в 2020 году

Изъян кроется в драйвере облачного фильтра Windows, cldflt.sys, а именно в процедуре под названием HsmOsBlockPlaceholderAccess. Ошибка не нова. Исследователь Google Project Zero Джеймс Форшоу (James Forshaw) сообщил о той же проблеме в Microsoft в сентябре 2020 года, и ей был присвоен номер CVE-2020-17103, а в декабре того же года ее якобы исправили. Компания Chaotic Eclipse запустила оригинальный proof-of-concept Форшоу без изменений и сообщает, что он работает как есть. "Я не уверен, что Microsoft так и не исправила эту проблему, или патч был тихо свернут в какой-то момент по неизвестным причинам", - написал исследователь в раскрытии информации.

Эксплойт злоупотребляет тем, как драйвер Cloud Filter обрабатывает создание ключей реестра через недокументированный API, позволяя обычному пользователю создавать произвольные ключи реестра в пользовательской ветке .DEFAULT без проверок доступа, которые должны их остановить. Это связано с условием гонки, поэтому процент успеха варьируется, но BleepingComputer's подтвержденные результаты говорят о том, что он достаточно надежен на реальном оборудовании. Одно исключение: он не работает на последней сборке Windows 11 Insider Preview Canary.

Часть преднамеренной кампании

MiniPlasma - это еще одно раскрытие нулевого дня для Windows от Chaotic Eclipse за последние шесть недель. Исследователь начал в апреле с BlueHammer, уязвимости локального повышения привилегий в Windows Defender, которую Microsoft исправила во вторник патчей 14 апреля как CVE-2026-33825, всего через несколько дней после того, как она была публично раскрыта 3 апреля. За ней последовала RedSun, вторая LPE в Defender, которую Microsoft, как сообщается, исправила молча, не присвоив CVE. Следующим появился UnDefend, инструмент Defender для отказа в обслуживании, который блокирует обновления определений безопасности. Затем YellowKey, обход BitLocker, который разблокирует зашифрованные диски через среду восстановления WinRE. Затем GreenPlasma, повышение привилегий фреймворка CTFMON, для которого исследователь утаил часть кода эксплойта. Теперь MiniPlasma.

Все три оригинальных эксплойта, BlueHammer, RedSun и UnDefend, были подтверждены исследователями Huntress в реальных атаках вскоре после обнародования. Исследователь недвусмысленно объясняет причину их выпуска: недовольство тем, как Microsoft работает с отчетами о багах и проверкой патчей. Microsoft не дала никаких комментариев по поводу MiniPlasma. Ранее компания сообщила BleepingComputer, что она "поддерживает скоординированное раскрытие уязвимостей" как широко распространенную отраслевую практику.