- Автор темы
- #1
ИБ-исследователь Chaotic Eclipse (он же Nightmare Eclipse) опубликовал на GitHub новый 0-day-эксплоит для Windows под названием MiniPlasma. Уязвимость позволяет локально повысить привилегии до уровня SYSTEM на полностью пропатченных системах под управлением Windows 11.
По словам специалиста, проблема связана с драйвером Cloud Filter (cldflt.sys) и функцией HsmOsBlockPlaceholderAccess. Причем речь идет не о новом баге: как утверждает Chaotic Eclipse, Microsoft так и не устранила уязвимость, о которой еще в сентябре 2020 года сообщал эксперт Google Project Zero Джеймс Форшоу (James Forshaw).
Тогда проблема получила идентификатор CVE-2020-17103, и в декабре 2020 года представители Microsoft заявили, что выпустили исправление. Однако теперь исследователь утверждает, что баг все еще работает без каких-либо изменений в оригинальном PoC-коде.
Работоспособность MiniPlasma подтвердил и ведущий аналитик по уязвимостям компании Tharros Уилл Дорманн (Will Dormann). Правда, по его словам, эксплоит не срабатывает в последних Insider Canary-сборках Windows 11, что может говорить о скрытом исправлении проблемы в тестовых версиях ОС.
Предполагается, уязвимость связана с недокументированным API CfAbortHydration и ошибкой в том, как драйвер Windows Cloud Filter обрабатывает создание ключей реестра. Так, в оригинальном отчете Форшоу говорилось, что этот баг позволяет создавать произвольные ключи реестра в hive .DEFAULT без корректных проверок доступа, что это открывает путь к повышению привилегий.
Напомним, MiniPlasma — не первый 0-day-эксплоит, опубликованный Nightmare Eclipse. В апреле и мае 2026 года исследователь обнародовал эксплоиты BlueHammer, RedSun и UnDefend, а позже опубликовал эксплоиты YellowKey (обход BitLocker) и GreenPlasma (баг для локального повышения привилегий).
При этом он открыто заявляет, что раскрывает 0-day в знак протеста против политики Microsoft и работы специалистов Microsoft Security Response Center (MSRC). Исследователь утверждает, что представители компании якобы угрожали ему и обещали «разрушить его жизнь».
Ранее в Microsoft сообщали журналистам, что придерживаются принципа скоординированного раскрытия уязвимостей, при котором детали багов публикуются только после выхода исправлений. В компании заверили, что расследуют все сообщения об уязвимостях, чтобы как можно быстрее выпускать исправления для защиты пользователей.
По словам специалиста, проблема связана с драйвером Cloud Filter (cldflt.sys) и функцией HsmOsBlockPlaceholderAccess. Причем речь идет не о новом баге: как утверждает Chaotic Eclipse, Microsoft так и не устранила уязвимость, о которой еще в сентябре 2020 года сообщал эксперт Google Project Zero Джеймс Форшоу (James Forshaw).
Тогда проблема получила идентификатор CVE-2020-17103, и в декабре 2020 года представители Microsoft заявили, что выпустили исправление. Однако теперь исследователь утверждает, что баг все еще работает без каких-либо изменений в оригинальном PoC-коде.
Журналисты Bleeping Computer сообщают, что протестировали эксплоит на полностью обновленной Windows 11 Pro с установленными майскими патчами. Используя обычную учетную запись пользователя, они смогли открыть командную строку с привилегиями SYSTEM.
Работоспособность MiniPlasma подтвердил и ведущий аналитик по уязвимостям компании Tharros Уилл Дорманн (Will Dormann). Правда, по его словам, эксплоит не срабатывает в последних Insider Canary-сборках Windows 11, что может говорить о скрытом исправлении проблемы в тестовых версиях ОС.
Предполагается, уязвимость связана с недокументированным API CfAbortHydration и ошибкой в том, как драйвер Windows Cloud Filter обрабатывает создание ключей реестра. Так, в оригинальном отчете Форшоу говорилось, что этот баг позволяет создавать произвольные ключи реестра в hive .DEFAULT без корректных проверок доступа, что это открывает путь к повышению привилегий.
Напомним, MiniPlasma — не первый 0-day-эксплоит, опубликованный Nightmare Eclipse. В апреле и мае 2026 года исследователь обнародовал эксплоиты BlueHammer, RedSun и UnDefend, а позже опубликовал эксплоиты YellowKey (обход BitLocker) и GreenPlasma (баг для локального повышения привилегий).
При этом он открыто заявляет, что раскрывает 0-day в знак протеста против политики Microsoft и работы специалистов Microsoft Security Response Center (MSRC). Исследователь утверждает, что представители компании якобы угрожали ему и обещали «разрушить его жизнь».
Ранее в Microsoft сообщали журналистам, что придерживаются принципа скоординированного раскрытия уязвимостей, при котором детали багов публикуются только после выхода исправлений. В компании заверили, что расследуют все сообщения об уязвимостях, чтобы как можно быстрее выпускать исправления для защиты пользователей.