En ny sårbarhed til privilegieeskalering i Windows har skabt bekymring efter at en forsker offentliggjorde en public proof-of-concept-exploit. MiniPlasma-exploiten kan angiveligt give angribere SYSTEM-adgang på fuldt opdaterede Windows-systemer.
Problemet påvirker Windows Cloud Filter-driveren, som understøtter synkronisering af filer i skyen. Sikkerhedsforskere advarer nu om, at den offentlige exploit kan hjælpe angribere med at styrke kontrollen over allerede kompromitterede enheder.
Forsker offentliggjorde exploitkode
Proof-of-concept-koden blev offentliggjort af forskeren Chaotic Eclipse, også kendt som Nightmare Eclipse. Forskeren uploadede både kildekode og en kompileret eksekverbar fil til GitHub.
Ifølge rapporter påvirker sårbarheden driveren cldflt.sys og en rutine kaldet HsmOsBlockPlaceholderAccess. Driveren hjælper Windows med at håndtere placeholder-filer, som anvendes af cloudlagringstjenester.
Exploiten gør det muligt for en lokal angriber at eskalere privilegier efter allerede at have fået adgang til systemet. Sårbarheden giver altså ikke initial adgang alene, men den kan hjælpe angribere med at få dybere kontrol efter en tidligere kompromittering.
Sårbarheden kan være relateret til ældre Microsoft-fejl
Forskere mener, at MiniPlasma-exploiten kan være relateret til CVE-2020-17103, en Windows-sårbarhed som blev rapporteret til Microsoft i 2020. Microsoft skulle efter sigende have rettet fejlen i december samme år.
Forskeren bag MiniPlasma hævder dog, at den ældre sårbarhed aldrig blev fuldt løst. Forskeren mener også, at en modificeret angrebsmetode stadig fungerer på opdaterede Windows-systemer.
Det rejser spørgsmål om hvor komplette visse sikkerhedsrettelser reelt er, samt hvilke regressionsrisici der findes i komplekse Windows-komponenter. Selv når leverandører udsender sikkerhedsopdateringer, kan relaterede angrebsveje nogle gange forblive åbne.
Fuldt opdaterede systemer er angiveligt stadig sårbare
Rapporter viser, at exploiten fungerer på fuldt opdaterede Windows-systemer, inklusive enheder med Microsofts sikkerhedsopdateringer fra maj 2026. Den detalje gør afsløringen særligt alvorlig for administratorer og sikkerhedsteams.
Microsofts Patch Tuesday for maj 2026 rettede 120 sårbarheder og indeholdt ingen offentligt afslørede zero-days. MiniPlasma-afsløringen kom kort efter den opdateringsrunde, hvilket betyder, at mange organisationer endnu ikke har en officiel patch til rådighed.
Nogle rapporter antyder, at nyere Windows Insider-builds ikke påvirkes. Microsoft har dog endnu ikke bekræftet en løsning eller udgivet officiel vejledning til risikoreduktion.
Derfor er privilegieeskalering farligt
Sårbarheder til privilegieeskalering spiller en vigtig rolle i virkelige cyberangreb. Trusselsaktører kombinerer ofte disse fejl med phishing, malware, stjålne legitimationsoplysninger eller sårbarheder til fjernudførelse af kode.
Når angribere først får fodfæste, kan SYSTEM-adgang hjælpe dem med at deaktivere sikkerhedsbeskyttelser, stjæle legitimationsoplysninger, installere persistensværktøjer og bevæge sig dybere ind i netværket. Ransomwaregrupper benytter ofte denne type adgang i senere angrebsfaser.
Offentlig proof-of-concept-kode øger også risikoen, fordi angribere hurtigt kan analysere og tilpasse exploiten. Sikkerhedsteams behandler derfor ofte sådanne offentliggørelser som højt prioriterede trusler, især når exploitkode virker mod fuldt opdaterede systemer.
Organisationer bør øge overvågningen
Indtil Microsoft udgiver en bekræftet patch eller officielle afværgeforanstaltninger, bør organisationer fokusere på at reducere mulighederne for lokale angreb. Sikkerhedsteams bør overvåge usædvanlig privilegieeskalering, mistænkelig registreringsdatabaseaktivitet og uventede interaktioner med komponenter til cloudsynkronisering.
Administratorer bør også begrænse lokale brugerrettigheder, forhindre unødvendig programkørsel og gennemgå endpoint-beskyttelsen. Disse tiltag erstatter ikke en patch, men de kan reducere risikoen for, at angribere lykkes med at udnytte sårbarheden.
Konklusion
MiniPlasma-exploiten viser, hvordan Windows-sårbarheder til privilegieeskalering kan skabe alvorlige risici selv efter normale sikkerhedsopdateringer. Den offentlige proof-of-concept-kode giver angiveligt angribere SYSTEM-adgang på fuldt opdaterede systemer, hvilket gør problemet vigtigt for forsvarere at overvåge nøje.
Microsoft har endnu ikke bekræftet en offentlig løsning, hvilket betyder, at organisationer bør styrke overvågningen og reducere lokale angrebsveje, mens de afventer officiel vejledning.
0 svar til “MiniPlasma-exploit skaber nye sikkerhedsbekymringer omkring Windows”