MiniPlasma: zero-day w Windows umożliwia eskalację uprawnień do SYSTEM na w pełni załatanych systemach - Security Bez Tabu

MiniPlasma: zero-day w Windows umożliwia eskalację uprawnień do SYSTEM na w pełni załatanych systemach

Cybersecurity news

Wprowadzenie do problemu / definicja

MiniPlasma to publicznie ujawniona podatność typu local privilege escalation w systemie Windows, która ma umożliwiać podniesienie uprawnień do poziomu SYSTEM z konta o niższych uprawnieniach. Problem dotyczy sterownika cldflt.sys, czyli Windows Cloud Files Mini Filter Driver, odpowiedzialnego za obsługę funkcji plików chmurowych i mechanizmów placeholderów.

Największe obawy budzi fakt, że opisany scenariusz ma działać również na w pełni zaktualizowanych systemach. W praktyce oznacza to zagrożenie klasy zero-day, które może zostać wykorzystane po wcześniejszym uzyskaniu lokalnego dostępu lub możliwości uruchomienia kodu na stacji roboczej.

W skrócie

MiniPlasma jest luką eskalacji uprawnień powiązaną z komponentem cldflt.sys oraz procedurą HsmOsBlockPlaceholderAccess. Publicznie opisany proof-of-concept pokazuje możliwość otwarcia powłoki z uprawnieniami SYSTEM po lokalnym wykonaniu kodu.

  • luka dotyczy natywnego komponentu Windows,
  • umożliwia przejście z kontekstu użytkownika do SYSTEM,
  • ma działać także na aktualnie załatanych systemach,
  • może być szczególnie groźna w atakach wieloetapowych.

Kontekst / historia

Sprawa zyskała rozgłos po publikacji proof-of-concept przez badacza działającego pod pseudonimem Chaotic Eclipse. Z udostępnionych informacji wynika, że problem może dotyczyć tego samego obszaru kodu, który wcześniej był zgłaszany przez Jamesa Forshawa z Google Project Zero we wrześniu 2020 roku.

W tamtym czasie zakładano, że luka została usunięta przez Microsoft w grudniu 2020 roku w ramach obsługi CVE-2020-17103. Najnowsze analizy sugerują jednak, że pierwotny mechanizm mógł nie zostać całkowicie wyeliminowany albo jego skuteczna naprawa została utracona wskutek dalszych zmian w kodzie.

To istotne także dlatego, że komponent odpowiedzialny za integrację z plikami chmurowymi już wcześniej pojawiał się w kontekście problemów bezpieczeństwa. Oznacza to, że sterowniki mini-filter pozostają atrakcyjnym celem dla badaczy i potencjalnych napastników.

Analiza techniczna

Podatność dotyczy sterownika cldflt.sys, który działa bardzo blisko jądra systemu i pośredniczy w operacjach na plikach. Tego typu komponenty mają wysoki poziom uprzywilejowania, dlatego każdy błąd logiczny, nieprawidłowa walidacja stanu lub warunek wyścigu może prowadzić do bardzo poważnych konsekwencji.

Według publicznie dostępnych informacji problem ma znajdować się w funkcji HsmOsBlockPlaceholderAccess. Opublikowany kod demonstracyjny wykorzystuje warunek wyścigu, który w określonych okolicznościach pozwala osiągnąć stan prowadzący do eskalacji uprawnień.

Kluczowe jest to, że MiniPlasma nie służy do uzyskania początkowego dostępu do systemu. Jest to exploit wzmacniający już istniejący przyczółek, co oznacza, że po uruchomieniu dowolnego kodu na hoście napastnik może próbować przejść z kontekstu zwykłego użytkownika do SYSTEM.

W praktyce daje to możliwość instalacji usług, wyłączania zabezpieczeń, uzyskania trwałej persystencji, dostępu do chronionych zasobów oraz przygotowania środowiska do dalszego ruchu bocznego. Dodatkowo wskazywano, że exploit miał działać wiarygodnie na aktualnych kompilacjach Windows 11, choć skuteczność może zależeć od konkretnego środowiska i natury samego wyścigu.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją MiniPlasma jest możliwość pełnej kompromitacji lokalnego hosta po zdobyciu minimalnego poziomu wykonania kodu. W środowisku firmowym taka luka znacząco zwiększa skuteczność ataków wieloetapowych, ponieważ eliminuje jedną z najważniejszych barier dla napastnika, czyli brak wysokich uprawnień.

  • przejęcie stacji roboczej lub serwera przez lokalną eskalację uprawnień,
  • wyłączenie lub obejście narzędzi EDR i innych mechanizmów ochronnych,
  • kradzież poświadczeń oraz dostęp do materiału uwierzytelniającego,
  • instalacja trwałych mechanizmów persystencji,
  • ułatwienie dalszego ruchu bocznego i eskalacji w środowisku domenowym.

Dla zespołów bezpieczeństwa szczególnie problematyczne jest to, że podatność dotyczy zaufanego komponentu systemowego. Utrudnia to wykrywanie oparte wyłącznie na reputacji plików lub prostym blokowaniu nieznanych binariów.

Rekomendacje

Organizacje powinny traktować MiniPlasma jako zagrożenie wysokiego priorytetu, mimo że luka wymaga lokalnego uruchomienia kodu. W praktyce oznacza to konieczność ograniczania możliwości wykonania nieautoryzowanego oprogramowania oraz wzmacniania detekcji zachowań typowych dla lokalnej eskalacji uprawnień.

  • ograniczyć możliwość uruchamiania nieautoryzowanego kodu przez użytkowników,
  • egzekwować zasadę least privilege i usuwać zbędne uprawnienia administracyjne,
  • wdrożyć lub zaostrzyć polityki Application Control, takie jak WDAC lub AppLocker,
  • monitorować nietypowe procesy potomne prowadzące do uzyskania powłoki SYSTEM,
  • zwiększyć telemetrię wokół operacji związanych z cldflt.sys i sterownikami mini-filter,
  • analizować anomalie wskazujące na lokalną eskalację po początkowej infekcji,
  • testować przyszłe poprawki producenta i weryfikować ich skuteczność przed wdrożeniem,
  • segmentować środowisko, aby ograniczyć skutki przejęcia pojedynczego hosta.

Warto również przygotować detekcje behawioralne zamiast polegać wyłącznie na sygnaturach. W przypadku exploitów wykorzystujących warunki wyścigu skuteczniejsze może być wykrywanie skutków, takich jak nagła zmiana kontekstu bezpieczeństwa procesu, tworzenie nowych usług czy podejrzane modyfikacje mechanizmów autostartu.

Podsumowanie

MiniPlasma pokazuje, że nawet szeroko wdrożone i dojrzałe komponenty Windows mogą nadal zawierać błędy prowadzące do krytycznej eskalacji uprawnień. Szczególnie niepokojące jest to, że publicznie opisany scenariusz ma dotyczyć systemów w pełni załatanych oraz może być powiązany z historycznie zgłoszoną luką, która według wcześniejszych założeń została już naprawiona.

Dla obrońców oznacza to konieczność wzmożonego monitoringu, ograniczania powierzchni wykonania kodu oraz gotowości do szybkiego wdrożenia działań łagodzących i przyszłych poprawek. W realnych kampaniach ataków taka podatność może stać się kluczowym elementem łańcucha prowadzącego do pełnego przejęcia hosta.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/miniplasma-windows-0-day-enables-system.html
  2. Google Project Zero Issue Tracker — https://project-zero.issues.chromium.org/issues/42450906
  3. Microsoft Security Response Center – CVE-2020-17103 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103