Исследователь в области кибербезопасности опубликовал эксплойт для уязвимости нулевого дня, позволяющей повысить привилегии в Windows и получившей название «MiniPlasma». Эта уязвимость даёт злоумышленникам доступ к системным привилегиям в полностью обновлённых системах Windows.
Эксплойт был опубликован исследователем, известным как Chaotic Eclipse или Nightmare Eclipse, который выложил исходный код и скомпилированный исполняемый файл на GitHub. Он заявил, что Microsoft ненадлежащим образом устранила ранее обнаруженную уязвимость 2020 года.
По словам исследователя, она затрагивает драйвер облачного фильтра ‘cldflt.sys’ и его подпрограмму ‘HsmOsBlockPlaceholderAccess’, о которой первоначально сообщил Microsoft исследователь Google Project Zero Джеймс Форшоу в сентябре 2020 года.
В то время уязвимости был присвоен идентификатор CVE-2020-17103, и, как сообщается, она была исправлена в декабре 2020-го.
«После расследования выяснилось, что та же самая проблема, о которой сообщил Microsoft исследователь Google Project Zero, на самом деле всё ещё присутствует, и она не исправлена. Я не уверен, исправила ли Microsoft эту проблему или же патч был незаметно отменён по неизвестным причинам. Оригинальный PoC от Google работал без каких-либо изменений», — объясняет Chaotic Eclipse.
В BleepingComputer протестировали эксплойт на полностью пропатченной системе Windows 11 Pro с последними обновлениями Patch Tuesday за май 2026 года. Редакторы использовали стандартную учётную запись пользователя, и после запуска эксплойта открылась командная строка с правами SYSTEM, как показано на изображении ниже.
Уилл Дорманн, ведущий аналитик по уязвимостям в Tharros, также подтвердил работоспособность эксплойта в своих тестах на последней общедоступной версии Windows 11. Однако он отметил, что она не работает в последней сборке Windows 11 Insider Preview Canary.
По всей видимости, эксплойт использует уязвимость в способе обработки создания ключей реестра драйвером Windows Cloud Filter через недокументированный API CfAbortHydration. В первоначальном отчете Форшоу говорилось, что уязвимость может позволить создавать произвольные ключи реестра в пользовательском разделе .DEFAULT без надлежащей проверки доступа, что потенциально может привести к повышению привилегий.
MiniPlasma — последняя в череде утечек информации об уязвимостях нулевого дня в Windows, опубликованных исследователем за последние несколько недель. Серия утечек началась в апреле с BlueHammer, уязвимости локального повышения привилегий в Windows, отслеживаемой как CVE-2026-33825, за которой последовали ещё одна, RedSun, и инструмент DoS-атак Windows Defender, UnDefend.
После их публикации обнаружилось, что все три уязвимости используются в атаках. По словам исследователя, Microsoft незаметно исправила проблему RedSun, не присвоив ей идентификатор CVE.
В этом месяце исследователь также выпустил два дополнительных эксплойта под названиями YellowKey и GreenPlasma.
YellowKey — это обход BitLocker, затрагивающий Windows 11 и Windows Server 2022/2025, который запускает командную оболочку, предоставляющую доступ к разблокированным дискам, защищённым конфигурациями BitLocker только с TPM.
Chaotic Eclipse заявляли, что публично раскрывают информацию об уязвимостях нулевого дня в Windows в знак протеста против программы вознаграждения за обнаружение ошибок и процесса обработки багов компанией. «Обычно я бы умолял их исправить ошибку, но, если коротко, они лично сказали мне, что разрушат мою жизнь, и они это сделали. Я не уверен, был ли я единственным, кто пережил этот ужасный опыт, или таких было немного, но думаю, большинство просто смирились бы с этим и смирились бы с потерями, но у меня они отняли всё», — заявил исследователь.
Сама Microsoft ранее заявила BleepingComputer, что поддерживает скоординированное раскрытие информации об уязвимостях и обязуется расследовать проблемы безопасности, о которых ей сообщают.
ссылка на оригинал статьи https://habr.com/ru/articles/1036336/