Eine neue Windows-Schwachstelle zur Rechteausweitung sorgt für Besorgnis, nachdem ein Forscher einen öffentlichen Proof-of-Concept-Exploit veröffentlicht hat. Der MiniPlasma-Exploit soll Angreifern SYSTEM-Zugriff auf vollständig gepatchten Windows-Systemen ermöglichen.
Das Problem betrifft den Windows Cloud Filter-Treiber, der Funktionen zur Cloud-Dateisynchronisierung unterstützt. Sicherheitsforscher warnen nun davor, dass der öffentliche Exploit Angreifern helfen könnte, ihre Kontrolle über bereits kompromittierte Geräte auszuweiten.
Forscher veröffentlichte öffentlichen Exploit-Code
Der Proof-of-Concept wurde von einem Forscher namens Chaotic Eclipse, auch bekannt als Nightmare Eclipse, veröffentlicht. Der Forscher stellte sowohl den Quellcode als auch eine kompilierte ausführbare Datei auf GitHub bereit.
Berichten zufolge betrifft die Schwachstelle den Treiber cldflt.sys sowie eine Routine namens HsmOsBlockPlaceholderAccess. Der Treiber unterstützt Windows bei der Verwaltung von Platzhalterdateien, die von Cloud-Speicherdiensten verwendet werden.
Der Exploit ermöglicht es einem lokalen Angreifer, nach einem erfolgreichen Zugriff auf ein System höhere Rechte zu erlangen. Die Schwachstelle verschafft also keinen initialen Zugriff, kann Angreifern jedoch helfen, nach einer bestehenden Kompromittierung tiefere Kontrolle über ein System zu übernehmen.
Schwachstelle könnte mit älterem Microsoft-Bug zusammenhängen
Forscher gehen davon aus, dass der MiniPlasma-Exploit mit CVE-2020-17103 zusammenhängen könnte, einer Windows-Schwachstelle, die Microsoft bereits 2020 gemeldet wurde. Microsoft soll das Problem im Dezember 2020 behoben haben.
Der Forscher hinter MiniPlasma behauptet jedoch, dass die ursprüngliche Schwachstelle nie vollständig behoben wurde. Zudem erklärte der Forscher, dass ein modifizierter Angriffsansatz weiterhin auf aktualisierten Windows-Systemen funktioniere.
Das wirft Fragen zur Vollständigkeit bestimmter Sicherheitsupdates und zu möglichen Regressionsrisiken in komplexen Windows-Komponenten auf. Selbst wenn Anbieter Sicherheitsupdates veröffentlichen, können verwandte Angriffswege manchmal weiterhin offen bleiben.
Vollständig gepatchte Systeme sollen weiterhin betroffen sein
Berichte zeigen, dass der Exploit auf vollständig aktualisierten Windows-Systemen funktioniert, darunter Geräte mit Microsofts Sicherheitsupdates vom Mai 2026. Diese Information macht die Offenlegung besonders ernst für Administratoren und Sicherheitsteams.
Microsofts Patch Tuesday vom Mai 2026 behob 120 Schwachstellen und enthielt keine offiziell bekannt gegebenen Zero-Day-Lücken. Die Veröffentlichung von MiniPlasma erfolgte kurz nach diesem Update-Zyklus, weshalb viele Unternehmen derzeit möglicherweise noch keinen offiziellen Patch zur Verfügung haben.
Einige Berichte deuten darauf hin, dass neuere Windows-Insider-Builds nicht betroffen sind. Microsoft hat bisher jedoch weder einen Fix bestätigt noch offizielle Empfehlungen zur Risikominderung veröffentlicht.
Warum Rechteausweitung gefährlich ist
Schwachstellen zur Rechteausweitung spielen bei realen Cyberangriffen eine wichtige Rolle. Bedrohungsakteure kombinieren solche Fehler häufig mit Phishing, Malware, gestohlenen Zugangsdaten oder Schwachstellen zur Remote-Code-Ausführung.
Sobald Angreifer einen ersten Zugriff erhalten, kann SYSTEM-Zugriff ihnen helfen, Sicherheitsfunktionen zu deaktivieren, Zugangsdaten auszulesen, Persistenzwerkzeuge zu installieren und sich tiefer im Netzwerk zu bewegen. Ransomware-Gruppen nutzen diese Art von Zugriff häufig in späteren Angriffsphasen.
Öffentlich verfügbarer Proof-of-Concept-Code erhöht zusätzlich das Risiko, da Angreifer den Exploit schnell analysieren und anpassen können. Sicherheitsteams behandeln solche Veröffentlichungen deshalb oft als hochpriorisierte Bedrohungen, insbesondere wenn der Exploit gegen vollständig aktualisierte Systeme funktioniert.
Unternehmen sollten ihre Überwachung verstärken
Bis Microsoft einen bestätigten Patch oder offizielle Schutzmaßnahmen bereitstellt, sollten Unternehmen ihre lokalen Angriffsflächen reduzieren. Sicherheitsteams sollten ungewöhnliche Rechteausweitungen, verdächtige Registry-Aktivitäten und unerwartete Interaktionen mit Cloud-Synchronisierungskomponenten überwachen.
Administratoren sollten außerdem lokale Benutzerrechte einschränken, unnötige Softwareausführung verhindern und ihre Endpoint-Schutzmaßnahmen überprüfen. Diese Maßnahmen ersetzen keinen Patch, können jedoch das Risiko verringern, dass Angreifer die Schwachstelle erfolgreich ausnutzen.
Fazit
Der MiniPlasma-Exploit zeigt, wie gefährlich Windows-Schwachstellen zur Rechteausweitung selbst nach regulären Sicherheitsupdates bleiben können. Der öffentliche Proof-of-Concept soll Angreifern SYSTEM-Zugriff auf vollständig gepatchten Systemen ermöglichen und macht die Schwachstelle daher besonders relevant für Verteidiger.
Microsoft hat bislang keinen öffentlichen Fix bestätigt. Unternehmen sollten daher ihre Überwachung verstärken und lokale Angriffswege einschränken, während sie auf offizielle Empfehlungen warten.
0 Kommentare zu „MiniPlasma-Exploit sorgt für neue Sicherheitsbedenken bei Windows“