Ismét reflektorfénybe került egy 2020-ban azonosított Windows-sebezhetőség, és a jelek szerint a legfrissebb biztonsági frissítésekkel ellátott rendszereken is működőképes.

A MiniPlasma névre keresztelt exploit Chaotic Eclipse (más néven Nightmare-Eclipse) néven ismert biztonsági kutató legújabban publikált Windows zero-day eszköze. Az előző exploitokkal (YellowKey, GreenPlasma) ellentétben, amelyek vagy fizikai hozzáférést igényeltek, vagy csupán részleges proof-of-concept állapotban léteztek, a MiniPlasma már egy normál felhasználói jogosultságú környezetből is képes SYSTEM-szintű jogosultságot szerezni. A ThreatLocker megerősítette, hogy az exploit sikeresen működik a legfrissebb Windows 11 rendszereken, beleértve a 2026. májusi frissítéseket is. A sérülékenységhez jelenleg hivatalos javítás nem elérhető.

A MiniPlasma egy lokális jogosultságkiterjesztési (Local Privilege Escalation – LPE) exploit, amely a CVE-2020-17103 azonosítójú sérülékenységet használja ki a Windows Cloud Filter driverben (cldflt[.]sys). A hibát eredetileg James Forshaw, a Google Project Zero kutatója jelentette a Microsoftnak 2020. szeptemberében. A sérülékenység CVE-azonosítót kapott, és a Microsoft állítása szerint még ugyanazon év decemberében javításra került.

Chaotic Eclipse szerint azonban a javítás vagy soha nem került megfelelően implementálásra, vagy később valamilyen módon visszagörgették. A kutató állítása szerint az eredeti Google Project Zero proof-of-concept kód minden módosítás nélkül továbbra is működőképes. A MiniPlasma ennek a PoC-nak egy „fegyverré alakított” változata, amely már nem csupán demonstrálja a sérülékenységet, hanem közvetlenül SYSTEM-shellt nyit a támadó számára.

A sérülékenység a Cloud Filter driver HsmOsBlockPlaceholderAccess rutinját érinti. Ez a komponens felel a felhőalapú fájlkezelés támogatásáért olyan szolgáltatások esetében, mint a OneDrive. A hiba a CfAbortHydration API-n keresztül registry-kulcsok manipulálását teszi lehetővé, amellyel a támadó hozzáférés-ellenőrzés nélkül hozhat létre kulcsokat a DEFAULT felhasználói hive-ban. Ez végül jogosultságkiterjesztéshez és SYSTEM-szintű kódfuttatáshoz vezet.

A jelenlegi információk szerint az érintett rendszerek a Windows 11, valamint a Windows Server 2022 és 2025. A Windows 10 egyelőre nem tűnik érintettnek.

A Cloud Filter driver alapértelmezetten jelen van a legtöbb Windows 11 telepítésen a OneDrive integráció miatt, ami azt jelenti, hogy a sérülékeny komponens rendkívül széles körben elterjedt. Chaotic Eclipse szerint potenciálisan minden Windows-verzió érintett lehet, ezt azonban független kutatók egyelőre nem erősítették meg.

Mivel jelenleg nincs elérhető biztonsági javítás, a leghatékonyabb védekezési módszer egy default-deny alkalmazásvezérlési szabály bevezetése, amely blokkolja az exploit payload futását még a támadás végrehajtása előtt. Emellett ajánlott az EDR-rendszerek az alábbi registry-útvonalak módosításainak monitorozására való konfigurálása:

• \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps*
• \Registry\User\.DEFAULT\Volatile Environment*

Az exploit a működése során ezt a két registry-helyet manipulálja, így az ezekre történő írási műveletek erős indikátorai lehetnek a MiniPlasma aktivitásának. Ha a Microsoft javítást ad ki, annak telepítése kiemelten sürgősnek tekintendő, függetlenül a szervezet szokásos patchkezelési ciklusától, ugyanis a korábbi Chaotic Eclipse exploitok (BlueHammer, RedSun és UnDefend) esetében a nyilvános publikációt követően rövid időn belül valós támadásokban is megjelent a kihasználásuk.

A MiniPlasma már a hatodik exploit, amelyet Chaotic Eclipse mindössze hat hét alatt publikált. Az exploit kódja jelenleg is elérhető GitHubon, ami tovább növeli a kockázatot.