Foto: Shot by Paowee ( talk · contribs ) (Public domain)
Sigurnosni istraživač objavio je proof-of-concept exploit za Windows zero-day ranjivost nazvanu MiniPlasma, koja na potpuno zakrpanim Windows sustavima može napadaču omogućiti SYSTEM ovlasti. Uz izvorni kod objavljena je i kompajlirana izvršna datoteka na GitHubu, a istraživač poznat kao Chaotic Eclipse, odnosno Nightmare Eclipse, tvrdi da Microsoft nije ispravno zakrpao ranije prijavljenu ranjivost iz 2020. godine.
Prema navodima istraživača, problem pogađa driver cldflt.sys, odnosno Windows Cloud Filter, i njegovu rutinu HsmOsBlockPlaceholderAccess. Riječ je o ranjivosti koja je prvotno bila prijavljena Microsoftu još u rujnu 2020. godine od strane istraživača Google Project Zero Jamesa Forshawa, a tada joj je dodijeljen identifikator CVE-2020-17103. U to je vrijeme prijavljeno da je greška ispravljena u prosincu 2020.
Chaotic Eclipse navodi da je nakon naknadne provjere utvrdio kako je “ista stvar” i dalje prisutna te neispravljena. Istraživač kaže i da nije siguran je li Microsoft problem nikada nije zakrpao ili je zakrpa u nekom trenutku tiho povučena iz nepoznatih razloga. Dodaje da je izvorni PoC koji je objavio Forshaw radio bez ikakvih izmjena. BleepingComputer je testirao exploit na potpuno ažuriranom Windows 11 Pro sustavu s najnovijim svibanjskim 2026 Patch Tuesday nadogradnjama i pri korištenju standardnog korisničkog računa otvoren je naredbeni redak sa SYSTEM ovlastima.
Will Dormann, glavni analitičar ranjivosti u Tharrosu, također je potvrdio da exploit radi u njegovim testovima na najnovijoj javnoj verziji Windows 11. Istodobno je rekao da ne radi na najnovijem Windows 11 Insider Preview Canary buildu. Prema opisu napada, exploit zlorabi način na koji Windows Cloud Filter driver rukuje stvaranjem registry ključeva kroz nedokumentirani CfAbortHydration API. U izvornom Forshawovu izvješću stajalo je da bi takav propust mogao omogućiti stvaranje proizvoljnih registry ključeva u .DEFAULT korisničkom hiveu bez odgovarajućih provjera pristupa, što potencijalno otvara put eskalaciji privilegija.
Microsoft je, prema navodima, ovu grešku smatrao ispravljenom u okviru Patch Tuesdayja iz prosinca 2020., no Chaotic Eclipse sada tvrdi da je ranjivost i dalje moguće iskoristiti. BleepingComputer kaže da je kontaktirao Microsoft i da će priču ažurirati ako stigne odgovor. MiniPlasma je ujedno najnoviji u nizu Windows zero-day objava koje je isti istraživač u posljednjih nekoliko tjedana objavio javno. U travnju je započeo objavom BlueHammera, ranjivosti lokalne eskalacije privilegija praćene kao CVE-2026-33825, potom je uslijedio RedSun, još jedna ranjivost za eskalaciju privilegija, te UnDefend, alat za DoS nad Windows Defenderom. Nakon tih objava, sve tri ranjivosti navodno su viđene u napadima, a istraživač tvrdi i da je Microsoft tiho zakrpao RedSun bez dodjele CVE oznake. Ovoga mjeseca objavljeni su i exploitovi YellowKey i GreenPlasma, a YellowKey je opisan kao BitLocker zaobilaznica koja utječe na Windows 11 te Windows Server 2022/2025 i otvara naredbenu ljusku s pristupom otključanim diskovima zaštićenima TPM-only BitLocker konfiguracijama.
Vezane vijesti
