MiniPlasma zero-day geeft SYSTEM toegang op volledig gepatcht Windows 11

Een onderzoeker die bekend staat onder de naam Chaotic Eclipse heeft een werkende Windows privilege escalation exploit vrijgegeven die SYSTEM toegang verleent op volledig gepatchte Windows 11 machines, inclusief machines met de nieuwste May 2026 Patch Tuesday update.

De exploit, MiniPlasma genaamd, werd onlangs samen met zowel de broncode als een gecompileerde executable gepubliceerd op GitHub. BleepingComputer heeft bevestigd dat het werkt op een standaard gebruikersaccount, waarbij een opdrachtprompt op SYSTEM-niveau wordt geopend op een nieuwe Windows 11 Pro-installatie. Beveiligingsonderzoeker Will Dormann van Tharros heeft de resultaten onafhankelijk geverifieerd.

Een bug die in 2020 verholpen zou zijn

De fout zit in het Windows Cloud Filter-stuurprogramma, cldflt.sys, met name in een routine genaamd HsmOsBlockPlaceholderAccess. De bug is niet nieuw. Google Project Zero-onderzoeker James Forshaw rapporteerde hetzelfde probleem aan Microsoft in september 2020, en het werd toegewezen aan CVE-2020-17103 en vermoedelijk gepatcht in december van dat jaar. Chaotic Eclipse heeft Forshaw's originele proof-of-concept ongewijzigd uitgevoerd en meldt dat het werkte zoals het was. "Ik weet niet zeker of Microsoft het probleem nooit heeft gepatcht of dat de patch op een gegeven moment om onbekende redenen stilletjes is teruggedraaid," schreef de onderzoeker bij de openbaarmaking.

De exploit maakt misbruik van de manier waarop de Cloud Filter driver omgaat met het aanmaken van registersleutels via een ongedocumenteerde API, waardoor een standaardgebruiker willekeurige registersleutels kan aanmaken in de .DEFAULT user hive zonder de toegangscontroles die dit zouden moeten tegenhouden. Er is een race-conditie bij betrokken, dus het succes varieert, maar BleepingComputer's bevestigde resultaten suggereren dat het betrouwbaar genoeg is op echte hardware. Eén uitzondering: het werkt niet op de nieuwste Windows 11 Insider Preview Canary build.

Onderdeel van een opzettelijke campagne

MiniPlasma is de zoveelste Windows zero-day onthulling van Chaotic Eclipse in de afgelopen zes weken. De onderzoeker begon in april met BlueHammer, een Windows Defender kwetsbaarheid voor lokale privilege-escalatie die Microsoft op 14 april op Patch Tuesday patchte als CVE-2026-33825, slechts enkele dagen nadat deze op 3 april openbaar was gemaakt. Daarna volgde RedSun, een tweede LPE in Defender die Microsoft naar verluidt geruisloos repareerde zonder een CVE toe te wijzen. UnDefend, een Defender denial-of-service tool die beveiligingsdefinitie-updates blokkeert, kwam daarna. Toen YellowKey, een BitLocker-bypass die versleutelde schijven ontgrendelt via de WinRE-herstelomgeving. Toen GreenPlasma, een CTFMON framework privilege-escalatie waarvoor de onderzoeker een deel van de exploit-code achterhield. Nu MiniPlasma.

Van alle drie de originele exploits, BlueHammer, RedSun en UnDefend, werd bevestigd dat ze in echte aanvallen werden gebruikt door onderzoekers van Huntress, kort nadat ze openbaar waren gemaakt. De onderzoeker is duidelijk over waarom deze worden vrijgegeven: ontevredenheid over de manier waarop Microsoft omgaat met bug bounty rapporten en patch verificatie. Microsoft heeft niet specifiek gereageerd op MiniPlasma. Het bedrijf vertelde eerder aan BleepingComputer dat het "gecoördineerde openbaarmaking van kwetsbaarheden ondersteunt" als een algemeen geaccepteerde industriepraktijk.