Istraživač bezbjednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadačima da dobiju sistemske privilegije na potpuno ažuriranim Windows sistemima.
Exploit je objavljen 13. maja na GitHub-u, a istraživač tvrdi da Microsoft ili nije uspio da zakrpi ranjivost ili je zakrpa koju je Microsoft objavio prije šest godina, vremenom povučena odnosno prestala da bude efikasna.
Ranjivost se nalazi u cldflt.sys Cloud Filter drajveru, tačnije u HsmOsBlockPlaceholderAccess funkciji, a prvobitno ju je još 2020. godine otkrio i prijavio Microsoft-u istraživač Google Project Zero tima Džejm Foršo.
Microsoft je tada ranjivosti dodijelio oznaku CVE-2020-17103 i objavio zakrpu u okviru Patch Tuesday ažuriranja iz decembra 2020. godine.
Međutim, Nightmare-Eclipse tvrdi da je istu ranjivost i dalje moguće iskoristiti bez ikakvih izmjena originalnog proof-of-concept koda iz Foršovog izveštaja.
MiniPlasma koristi problem u načinu na koji Cloud Filter drajver rukuje kreiranjem ključeva registra unutar .DEFAULT user hive-a bez adekvatnih provera pristupa.
Prema analizi Google Project Zero tima, problem nastaje jer funkcija ne koristi OBJ_FORCE_ACCESS_CHECK zaštitu, što omogućava lokalnim korisnicima da zaobiđu standardna ograničenja i kreiraju ključeve registra kojima inače ne bi smeli da pristupe.
Exploit dodatno koristi tehniku kojom manipuliše korisničkim i anonimnim tokenima kako bi sistem otvorio .DEFAULT hive sa privilegijama za upis.
Kada napad uspije, exploit pokreće komandnu liniju sa sistemskim privilegijama, čime napadač dobija praktično potpunu kontrolu nad uređajem.
Ranjivost utiče na sve verzije Windows-a, a poseban problem predstavlja činjenica da je Cloud Filter komponenta dio Windows cloud sinhronizacionih servisa poput OneDrive-a, zbog čega se ranjivi kod nalazi na velikom broju Windows sistema.
MiniPlasma je objavljen dan nakon Microsoftovog Patch Tuesday ciklusa za maj 2026. godine, što znači da korisnici trenutno nemaju zvaničnu zakrpu i vjerovatno će morati da čekaju naredni ciklus bezbjednosnih ažuriranja.
Stručnjaci upozoravaju da javno dostupni exploit značajno povećava rizik od aktivne zloupotrebe ranjivosti u realnim napadima.
(Informacija/Mondo)