SecAtor
@true_secator
Исследователь выкатил демонстрационный PoC для 0-day, позволяющей повысить привилегии в Windows и получившей название MiniPlasma. Эта уязвимость дает злоумышленникам возможность получить системные привилегии в полностью обновленных системах Windows.
Обнаружение и раскрытие приписывается исследователю Chaotic Eclipse или Nightmare Eclipse, который выложил исходный код и исполняемый файл на GitHub, заявляя, что Microsoft ненадлежащим образом устранила ранее обнаруженную уязвимость в 2020 году.
По словам исследователя, уязвимость затрагивает cldflt.sys драйвер Cloud Filter и его подпрограмму HsmOsBlockPlaceholderAccess,
о которой первоначально сообщил Microsoft исследователь Google Project Zero Джеймс Форшоу в сентябре 2020 года.
В то время уязвимости был присвоен идентификатор CVE-2020-17103, и, как сообщается, она была исправлена в декабре 2020 года.
Chaotic Eclipse пояснил: по результатам исследования выяснилось, что та же самая проблема, о которой сообщалось Microsoft в рамках проекта Google Project Zero, на самом деле всё ещё существует и не исправлена. Оригинальный PoC от Google работал без каких-либо изменений.
Причем независимые тесты на полностью пропатченной системе Windows 11 Pro с последними обновлениями Patch Tuesday за май 2026 года на стандартной учетной записи пользователя показали, что после запуска эксплойта открылась командная строка с правами SYSTEM.
Уилл Дорманн из Tharros также подтвердил работоспособность эксплойта в ходе своих тестов на последней общедоступной версии Windows 11. Однако он отметил, что уязвимость не работает в последней сборке Windows 11 Insider Preview Canary.
По всей видимости, уязвимость использует некорректный способ обработки создания ключей реестра драйвером Windows Cloud Filter через недокументированный API CfAbortHydration.
В первоначальном отчете Форшоу утверждалось, что эта уязвимость позволяет создавать произвольные ключи реестра в пользовательском разделе .DEFAULT без надлежащей проверки доступа, что потенциально может привести к повышению привилегий.
В свою очередь, Microsoft сообщает об исправлении ошибки в рамках декабрьского Patch Tuesday 2020 года, однако Chaotic Eclipse утверждает, что уязвимость все еще может быть использована злоумышленниками.
MiniPlasma - это последняя из серии утечек информации о 0-day в Windows, опубликованных исследователем за последние несколько недель.
Серия разоблачений началась в апреле с BlueHammer, уязвимости локального повышения привилегий в Windows (CVE-2026-33825), за которой последовала еще одна уязвимость повышения привилегий, RedSun, и инструмент DoS-атак для Windows Defender, UnDefend.
Причем после их обнаружения было выявлено, что все три уязвимости использовались в атаках.
По словам исследователя, Microsoft незаметно исправила проблему RedSun, не присвоив ей идентификатор CVE.
В этом месяце исследователь также выпустил две дополнительные уязвимости YellowKey и GreenPlasma, сделав это в знак протеста против программы вознаграждения за обнаружение ошибок и процесса обработки уязвимостей Microsoft.
Теперь мяч на стороне микромягких, ожидаем подробностей и комментарии от разработчиков.
Обнаружение и раскрытие приписывается исследователю Chaotic Eclipse или Nightmare Eclipse, который выложил исходный код и исполняемый файл на GitHub, заявляя, что Microsoft ненадлежащим образом устранила ранее обнаруженную уязвимость в 2020 году.
По словам исследователя, уязвимость затрагивает cldflt.sys драйвер Cloud Filter и его подпрограмму HsmOsBlockPlaceholderAccess,
о которой первоначально сообщил Microsoft исследователь Google Project Zero Джеймс Форшоу в сентябре 2020 года.
В то время уязвимости был присвоен идентификатор CVE-2020-17103, и, как сообщается, она была исправлена в декабре 2020 года.
Chaotic Eclipse пояснил: по результатам исследования выяснилось, что та же самая проблема, о которой сообщалось Microsoft в рамках проекта Google Project Zero, на самом деле всё ещё существует и не исправлена. Оригинальный PoC от Google работал без каких-либо изменений.
Причем независимые тесты на полностью пропатченной системе Windows 11 Pro с последними обновлениями Patch Tuesday за май 2026 года на стандартной учетной записи пользователя показали, что после запуска эксплойта открылась командная строка с правами SYSTEM.
Уилл Дорманн из Tharros также подтвердил работоспособность эксплойта в ходе своих тестов на последней общедоступной версии Windows 11. Однако он отметил, что уязвимость не работает в последней сборке Windows 11 Insider Preview Canary.
По всей видимости, уязвимость использует некорректный способ обработки создания ключей реестра драйвером Windows Cloud Filter через недокументированный API CfAbortHydration.
В первоначальном отчете Форшоу утверждалось, что эта уязвимость позволяет создавать произвольные ключи реестра в пользовательском разделе .DEFAULT без надлежащей проверки доступа, что потенциально может привести к повышению привилегий.
В свою очередь, Microsoft сообщает об исправлении ошибки в рамках декабрьского Patch Tuesday 2020 года, однако Chaotic Eclipse утверждает, что уязвимость все еще может быть использована злоумышленниками.
MiniPlasma - это последняя из серии утечек информации о 0-day в Windows, опубликованных исследователем за последние несколько недель.
Серия разоблачений началась в апреле с BlueHammer, уязвимости локального повышения привилегий в Windows (CVE-2026-33825), за которой последовала еще одна уязвимость повышения привилегий, RedSun, и инструмент DoS-атак для Windows Defender, UnDefend.
Причем после их обнаружения было выявлено, что все три уязвимости использовались в атаках.
По словам исследователя, Microsoft незаметно исправила проблему RedSun, не присвоив ей идентификатор CVE.
В этом месяце исследователь также выпустил две дополнительные уязвимости YellowKey и GreenPlasma, сделав это в знак протеста против программы вознаграждения за обнаружение ошибок и процесса обработки уязвимостей Microsoft.
Теперь мяч на стороне микромягких, ожидаем подробностей и комментарии от разработчиков.
GitHub
Nightmare-Eclipse - Overview
Nightmare-Eclipse has 6 repositories available. Follow their code on GitHub.
1 46 6.1K
Обсуждение 1
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram