MiniPlasma: исследователь опубликовал PoC-эксплойт, дающий SYSTEM-доступ на полностью обновлённой Windows 11

Уязвимость, якобы закрытая в 2020 году, снова работает: PoC MiniPlasma открывает командную строку с привилегиями SYSTEM на полностью обновлённой Windows 11.

Евгений Стребков
Обложка: MiniPlasma: исследователь опубликовал PoC-эксплойт, дающий SYSTEM-доступ на полностью обновлённой Windows 11

На любом Windows-компьютере с установленным OneDrive или другим Windows Cloud Files клиентом обновления мая 2026 года не защищают от новой атаки. Исследователь под псевдонимом Chaotic Eclipse опубликовал PoC-эксплойт MiniPlasma, который работает на полностью пропатченных Windows-системах и открывает командную строку с правами SYSTEM. Важно: это атака локального повышения привилегий — злоумышленник уже должен иметь учётную запись на машине. Удалённый взлом через этот эксплойт невозможен.

MiniPlasma — это эксплойт для уязвимости локального повышения привилегий (LPE) в драйвере cldflt.sys (Windows Cloud Files Mini Filter Driver). Уязвимость поднимает стандартного пользователя до SYSTEM за счёт состояния гонки в API облачных файлов Windows.

Key Takeaways
Ключевые выводы

Уязвимость: повышение привилегий до SYSTEM через race condition в cldflt.sys — драйвере облачных файлов Windows.

Затронутые системы: все версии Windows, включая Windows 11 с патчами мая 2026 года. Не работает только в Insider Preview Canary.

История: CVE-2020-17103 была сообщена Google Project Zero в 2020 году и якобы исправлена, но патч оказался неэффективным.

PoC опубликован: исходный код и скомпилированный исполняемый файл доступны на GitHub.

Мотив раскрытия: исследователь публикует серию Windows zero-days в знак протеста против практик bug bounty в Microsoft.

Что делать: отключить синхронизацию OneDrive на критических системах до выхода патча; мониторить процессы с неожиданными SYSTEM-привилегиями.

Уязвимость не нова — впервые о ней сообщил исследователь Google Project Zero Джеймс Форшоу (James Forshaw) в сентябре 2020 года. В декабре 2020-го Microsoft выпустила патч и присвоила проблеме идентификатор CVE-2020-17103. Однако Chaotic Eclipse утверждает, что при повторном исследовании обнаружил: исходный PoC от Google Project Zero работает без каких-либо изменений.

Я не знаю, то ли Microsoft никогда не исправляла эту проблему, то ли патч был молча откатан в какой-то момент по неизвестным причинам. Оригинальный PoC от Google заработал без каких-либо изменений.
Chaotic Eclipseнезависимый исследователь безопасности

Как работает MiniPlasma

Уязвимость находится в рутине HsmOsBlockPlaceholderAccess драйвера облачных файлов cldflt.sys. Этот драйвер отвечает за управление placeholder-файлами — специальными записями в файловой системе, которые представляют облачные файлы ещё до их загрузки на устройство.

Механизм атаки

Эксплойт злоупотребляет API CfAbortHydration из Windows Cloud Files — функцией, которая прерывает процесс гидратации (загрузки содержимого облачного файла на локальный диск). В оригинальном отчёте Форшоу показал: через race condition в этом процессе можно создавать произвольные ключи реестра в кусте реестра .DEFAULT (системный куст, доступный до входа в Windows) без надлежащей проверки прав доступа.

Это классическая атака типа TOCTOU (Time-Of-Check-Time-Of-Use): между проверкой прав и фактической записью в реестр есть временное окно, которое эксплойт использует для создания привилегированных ключей реестра в привилегированном контексте. Именно поэтому исследователь оговаривается, что процент успеха может варьироваться в зависимости от конкретной системы.

Тест BleepingComputer подтвердил работоспособность: на стандартной учётной записи пользователя запуск эксплойта открыл командную строку с привилегиями SYSTEM на Windows 11 Pro с последними обновлениями мая 2026 года.

Серия zero-days от Chaotic Eclipse

MiniPlasma — не изолированный случай. За последние несколько недель тот же исследователь опубликовал шесть уязвимостей в Windows:

  • BlueHammer (CVE-2026-33825) — локальное повышение привилегий, апрель 2026
  • RedSun — ещё одно LPE; Microsoft тихо исправила без присвоения CVE
  • UnDefend — инструмент DoS для Windows Defender
  • YellowKey — обход BitLocker на Windows 11 / Server 2022/2025; открывает shell с доступом к дискам, защищённым только TPM
  • GreenPlasma — дополнительное повышение привилегий
  • MiniPlasma — настоящий материал, май 2026

Первые три уязвимости уже фиксировались в реальных атаках после публичного раскрытия. Исследователь открыто заявляет о мотиве: он публикует zero-days в знак протеста против того, как Microsoft обращается с участниками программы bug bounty.

Тот же компонент уже атаковали в 2025 году

В декабре 2025 года Microsoft устранила CVE-2025-62221 — ещё одну уязвимость повышения привилегий в том же компоненте cldflt.sys (CVSS 7.8). На тот момент она уже эксплуатировалась неизвестными злоумышленниками. Это показывает, что Cloud Filter Driver остаётся привлекательной целью для атакующих.

Что делать прямо сейчас

Официального патча от Microsoft пока нет. BleepingComputer связалась с компанией — ответа на момент публикации не поступило. До выхода патча рекомендуем следующие меры:

  1. Ограничьте использование OneDrive и других облачных синхронизаций на критических серверах и рабочих станциях с доступом к чувствительным данным.
  2. Включите ведение аудита создания ключей реестра (Event ID 4657) — особенно в кустах HKEY_USERS\.DEFAULT.
  3. Мониторьте процессы, запущенные с неожиданными привилегиями SYSTEM от имени обычного пользователя (Event ID 4688 + 4672).
  4. Настройте EDR/AV-решение на обнаружение создания процессов с привилегиями SYSTEM из непривилегированного контекста.
  5. Следите за обновлениями от Microsoft через Microsoft Security Response Center.

Проверить, включена ли фильтрация облачных файлов на системе:

			# Проверить статус Cloud Files Mini Filter Driver
Get-Service -Name CldFlt | Select-Object Name, Status, StartType

# Если нужно временно отключить:
# ВНИМАНИЕ: CldFlt нужен OneDrive, SharePoint Sync, Work Folders и любым
# приложениям, использующим Windows Cloud Files API. Отключайте только если
# ни один из этих сервисов не используется.
sc.exe config CldFlt start=disabled
sc.exe stop CldFlt
Часто задаваемые вопросы
1
Затронуты ли серверы Windows Server?

Исследователь утверждает, что уязвимы все версии Windows. Официальная проверка на Windows Server не публиковалась, однако компонент cldflt.sys присутствует и там, особенно при включённой поддержке Work Folders или OneDrive.

2
Нужно ли использовать OneDrive для эксплуатации?

Не обязательно активно использовать — достаточно, чтобы драйвер cldflt.sys был загружен в систему. Он включается при установке OneDrive или при активации Windows Cloud Files API.

3
Работает ли эксплойт удалённо?

Нет. MiniPlasma — уязвимость локального повышения привилегий (Local Privilege Escalation, LPE). Для её эксплуатации атакующий уже должен иметь доступ к системе с правами обычного пользователя.

4
Когда выйдет патч?

Microsoft не подтвердила сроки. С учётом предыдущего опыта (CVE-2020-17103 получила патч через около трёх месяцев после сообщения), ближайшая дата — июнь 2026 Patch Tuesday. Однако возможен и внеплановый Security Update.

5
Какие версии Windows подвержены уязвимости?

Подтверждена работоспособность на Windows 11 Pro с обновлениями мая 2026 года. Исследователь заявляет, что уязвимы все версии Windows. Исключение — Windows 11 Insider Preview Canary (там не работает).

Выводы

MiniPlasma демонстрирует системную проблему: уязвимость, о которой знали ещё в 2020 году, снова стала актуальной угрозой. Независимо от причины — неполный патч или молчаливый откат — компонент cldflt.sys остаётся вектором атаки даже на полностью обновлённых системах.

Я вооружил оригинальный PoC, чтобы порождать SYSTEM shell. Похоже, это надёжно работает на моих машинах, хотя процент успеха может варьироваться, поскольку это состояние гонки.
Chaotic Eclipseнезависимый исследователь безопасности

Пока патча нет, PoC уже доступен на GitHub — это значит, что технически грамотные злоумышленники уже могут адаптировать эксплойт. Проверьте статус CldFlt, включите аудит реестра (Event ID 4657) и мониторинг SYSTEM-процессов (Event ID 4688+4672). Источники: BleepingComputer, The Hacker News.

Проверьте, запущен ли cldflt.sys на ваших системах, и подпишитесь на бюллетени MSRC, чтобы получить патч сразу после выхода.

В этой статье
  1. Key Takeaways
  2. Как работает MiniPlasma
  3. Серия zero-days от Chaotic Eclipse
  4. Тот же компонент уже атаковали в 2025 году
  5. Что делать прямо сейчас
  6. Часто задаваемые вопросы
  7. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter