Уязвимость нулевого дня Windows открыла доступ к SYSTEM

Исследователь в области кибербезопасности опубликовал эксплойт для уязвимости нулевого дня, позволяющей повысить привилегии в Windows и получившей название «MiniPlasma». Эта уязвимость даёт злоумышленникам доступ к системным привилегиям в полностью обновлённых системах Windows.

Эксплойт был опубликован исследователем, известным как Chaotic Eclipse или Nightmare Eclipse, который выложил исходный код и скомпилированный исполняемый файл на GitHub. Он заявил, что Microsoft ненадлежащим образом устранила ранее обнаруженную уязвимость 2020 года.

В соответствии с заявлению исследователя, она затрагивает драйвер облачного фильтра 'cldflt.sys' и его подпрограмму 'HsmOsBlockPlaceholderAccess', о которой первоначально сообщил Microsoft исследователь Google Project Zero Джеймс Форшоу в сентябре 2020 года.

В то время уязвимости был присвоен идентификатор CVE-2020-17103, и, по имеющимся данным, она была исправлена ​​в декабре 2020-го.

«После расследования стало известно, что та же самая проблема, о которой сообщил Microsoft исследователь Google Project Zero, на самом деле всё ещё присутствует, и она не исправлена. Я не уверен, исправила ли Microsoft эту проблему или же патч был незаметно отменён по неизвестным причинам. Оригинальный PoC от Google работал без каких-либо изменений», — объясняет Chaotic Eclipse.

В BleepingComputer протестировали эксплойт на полностью пропатченной системе Windows 11 Pro с последними обновлениями Patch Tuesday за май 2026 года. Редакторы использовали стандартную учётную запись пользователя, и после запуска эксплойта открылась командная строка с правами SYSTEM, как показано на изображении ниже. 

Уилл Дорманн, ведущий аналитик по уязвимостям в Tharros, равным образом подтвердил работоспособность эксплойта в своих тестах на последней общедоступной версии Windows 11. Тем не менее он отметил, что она не работает в последней сборке Windows 11 Insider Preview Canary.

По всей видимости, эксплойт использует уязвимость в способе обработки создания ключей реестра драйвером Windows Cloud Filter через недокументированный программный оболочку CfAbortHydration. В первоначальном отчете Форшоу говорилось, что уязвимость может позволить разрабатывать произвольные ключи реестра в пользовательском разделе .DEFAULT без надлежащей проверки доступа, что потенциально может привести к повышению привилегий.

MiniPlasma — последняя в череде утечек информации об уязвимостях нулевого дня в Windows, опубликованных исследователем за последние несколько недель. Серия утечек началась в апреле с BlueHammer, уязвимости локального повышения привилегий в Windows, отслеживаемой как CVE-2026-33825, за которой последовали ещё одна, RedSun, и инструмент DoS-атак Windows Defender, UnDefend.

После их публикации обнаружилось, что все три уязвимости используются в атаках. Согласно заявлению исследователя, Microsoft незаметно исправила проблему RedSun, не присвоив ей идентификатор CVE.

В этом месяце исследователь также опубликовал два дополнительных эксплойта под названиями YellowKey и GreenPlasma.

YellowKey — это обход BitLocker, затрагивающий Windows 11 и Windows Server 2022/2025, который запускает командную оболочку, предоставляющую доступ к разблокированным дискам, защищённым конфигурациями BitLocker только с TPM. 

Chaotic Eclipse заявляли, что публично раскрывают информацию об уязвимостях нулевого дня в Windows в знак протеста против программы вознаграждения за обнаружение ошибок и процесса обработки багов компанией. «Обычно я бы умолял их исправить ошибку, но, если коротко, они лично сказали мне, что разрушат мою жизнь, и они это сделали. Я не уверен, был ли я единственным, кто пережил этот ужасный опыт, или таких было немного, но думаю, большинство просто смирились бы с этим и смирились бы с потерями, но у меня они отняли всё», — объявил исследователь.

Сама Microsoft ранее заявила BleepingComputer, что поддерживает скоординированное раскрытие информации об уязвимостях и обязуется расследовать проблемы безопасности, о которых ей сообщают.