Notebookcheck Logo

MiniPlasma zero-day ger SYSTEM tillgång till fullt patchad Windows 11

En forskare med huva arbetar över flera skärmar i en mörk miljö. Generisk hackare på bilden.
ⓘ magnific.com/author/dcstudio
En forskare med huva arbetar över flera skärmar i en mörk miljö. Generisk hackare på bilden.
Ett fungerande proof-of-concept för MiniPlasma, en nolldag för Windows Cloud Filter-drivrutinen, gör det möjligt för standardanvändare att få SYSTEM-privilegier på helt patchade Windows 11-system.
Windows Software Security Desktop Laptop / Notebook

En forskare känd som Chaotic Eclipse har släppt en fungerande Windows-privilegieeskaleringsutnyttjande som ger SYSTEM-åtkomst på helt patchade Windows 11-maskiner, inklusive de som kör den senaste Patch Tuesday-uppdateringen 2026 maj.

Exploateringen, med namnet MiniPlasma, publicerades nyligen tillsammans med både källkod och en kompilerad körbar på GitHub. BleepingComputer bekräftade att det fungerar på ett standardanvändarkonto och öppnar en kommandotolk på SYSTEM-nivå på en ny Windows 11 Pro-installation. Säkerhetsforskaren Will Dormann från Tharros verifierade resultaten oberoende.

En bugg som skulle åtgärdas 2020

Felet sitter i Windows Cloud Filter-drivrutinen, cldflt.sys, specifikt i en rutin som heter HsmOsBlockPlaceholderAccess. Buggen är inte ny. Google Project Zero-forskaren James Forshaw rapporterade samma fråga till Microsoft i september 2020, och den tilldelades CVE-2020-17103 och förmodligen patchad i december samma år. Chaotic Eclipse körde Forshaws ursprungliga proof-of-concept omodifierat och rapporterar att det fungerade som det är. "Jag är osäker på om Microsoft bara aldrig lappade problemet eller om lappen tyst rullades tillbaka vid någon tidpunkt av okända skäl", skrev forskaren om avslöjandet.

Exploateringen missbrukar hur Cloud Filter-drivrutinen hanterar skapande av registernycklar genom ett odokumenterat API, vilket gör det möjligt för en standardanvändare att skapa godtyckliga registernycklar i .DEFAULT-användarhive utan åtkomstkontroller som borde stoppa dem. Det innebär ett tävlingsvillkor, så framgångsgraden varierar, men BleepingComputers bekräftade resultat tyder på att det är tillräckligt tillförlitligt på riktig hårdvara. Ett undantag: det fungerar inte på den senaste Windows 11 Insider Preview Canary-byggnaden.

En del av en avsiktlig kampanj

MiniPlasma är ännu en Windows-nolldagsupplysning från Chaotic Eclipse under de senaste sex veckorna. Forskaren började i april med BlueHammer, en Windows Defender-sårbarhet för lokal privilegieeskalering som Microsoft patchade den 14 april Patch Tuesday som CVE-2026-33825, bara några dagar efter att den offentliggjordes den 3 april. Det följdes av RedSun, en andra LPE i Defender som Microsoft enligt uppgift fixade tyst utan att tilldela en CVE. UnDefend, ett Defender-denial-of-service-verktyg som blockerar säkerhetsdefinitionsuppdateringar, kom nästa. Sedan YellowKey, en BitLocker-bypass som låser upp krypterade enheter via WinRE-återställningsmiljön. Sedan GreenPlasma, en eskalering av CTFMON-ramverksprivilegier för vilken forskaren höll tillbaka en del av exploateringskoden. Nu MiniPlasma.

Alla tre ursprungliga exploateringar, BlueHammer, RedSun och UnDefend, bekräftades utnyttjas i verkliga attacker av Huntress-forskare strax efter offentliggörandet. Forskaren är tydlig med varför dessa släpps: missnöje med hur Microsoft hanterar bug bounty-rapporter och patchverifiering. Microsoft har inte kommenterat MiniPlasma specifikt. Företaget berättade tidigare för BleepingComputer att det "stöder samordnat avslöjande av sårbarheter" som en allmänt antagen branschpraxis.

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 05 > MiniPlasma zero-day ger SYSTEM tillgång till fullt patchad Windows 11
Darryl Linington, 2026-05-18 (Update: 2026-05-18)