En ny sårbarhet för privilegieeskalering i Windows har väckt oro efter att en forskare publicerat en offentlig proof-of-concept-exploit. MiniPlasma-exploiten kan enligt rapporter ge angripare SYSTEM-nivååtkomst på fullt uppdaterade Windows-system.
Problemet påverkar Windows Cloud Filter-drivrutinen, som hanterar funktioner för molnsynkronisering av filer. Säkerhetsforskare varnar nu för att den offentliga exploiten kan hjälpa angripare att stärka sin kontroll över redan komprometterade enheter.
Forskare publicerade offentlig exploitkod
Proof-of-concept-koden publicerades av forskaren Chaotic Eclipse, även känd som Nightmare Eclipse. Forskaren lade ut både källkod och en färdig kompilerad körbar fil på GitHub.
Enligt rapporter påverkar sårbarheten drivrutinen cldflt.sys och en rutin kallad HsmOsBlockPlaceholderAccess. Drivrutinen hjälper Windows att hantera placeholder-filer som används av molnlagringstjänster.
Exploiten gör det möjligt för en lokal angripare att eskalera privilegier efter att redan ha fått åtkomst till systemet. Sårbarheten ger alltså inte initial åtkomst på egen hand, men den kan hjälpa angripare att ta djupare kontroll efter en tidigare kompromettering.
Sårbarheten kan vara kopplad till äldre Microsoft-bugg
Forskare tror att MiniPlasma-exploiten kan vara relaterad till CVE-2020-17103, en Windows-sårbarhet som rapporterades till Microsoft under 2020. Microsoft patchade enligt uppgifter problemet i december samma år.
Forskaren bakom MiniPlasma hävdar dock att den äldre sårbarheten aldrig åtgärdades helt. Forskaren menar också att en modifierad attackmetod fortfarande fungerar på uppdaterade Windows-system.
Det väcker frågor kring hur kompletta vissa säkerhetsfixar är och vilka regressionsrisker som finns i komplexa Windows-komponenter. Även när leverantörer släpper säkerhetsuppdateringar kan relaterade attackvägar ibland förbli öppna.
Fullt uppdaterade system uppges fortfarande vara sårbara
Rapporter visar att exploiten fungerar på fullt uppdaterade Windows-system, inklusive enheter med Microsofts säkerhetsuppdateringar från maj 2026. Den detaljen gör avslöjandet särskilt allvarligt för administratörer och säkerhetsteam.
Microsofts Patch Tuesday för maj 2026 åtgärdade 120 sårbarheter och innehöll inga officiellt avslöjade nolldagssårbarheter. MiniPlasma-avslöjandet kom kort efter den uppdateringscykeln, vilket innebär att många organisationer ännu saknar en officiell patch.
Vissa rapporter antyder att nyare Windows Insider-versioner inte påverkas. Microsoft har dock ännu inte bekräftat någon fix eller publicerat officiella rekommendationer för att minska risken.
Därför är privilegieeskalering farligt
Sårbarheter för privilegieeskalering spelar en viktig roll i verkliga cyberattacker. Hotaktörer kombinerar ofta dessa buggar med phishing, malware, stulna inloggningsuppgifter eller sårbarheter för fjärrkörning av kod.
När angripare väl får ett första fotfäste kan SYSTEM-nivååtkomst hjälpa dem att stänga av säkerhetsskydd, stjäla autentiseringsuppgifter, installera persistensverktyg och röra sig djupare in i nätverket. Ransomwaregrupper använder ofta denna typ av åtkomst i senare attackfaser.
Offentlig proof-of-concept-kod ökar dessutom risken eftersom angripare snabbt kan analysera och anpassa exploiten. Säkerhetsteam behandlar därför ofta sådana publiceringar som högprioriterade hot, särskilt när exploitkod fungerar mot fullt uppdaterade system.
Organisationer bör öka övervakningen
Tills Microsoft släpper en bekräftad patch eller officiella skyddsåtgärder bör organisationer fokusera på att minska möjligheterna till lokala attacker. Säkerhetsteam bör övervaka ovanlig privilegieeskalering, misstänkt registeraktivitet och oväntade interaktioner med komponenter för molnsynkronisering.
Administratörer bör också begränsa lokala användarbehörigheter, stoppa onödig programkörning och kontrollera täckningen i sina endpointskydd. Dessa åtgärder ersätter inte en säkerhetsuppdatering, men de kan minska risken för att angripare lyckas utnyttja sårbarheten.
Slutsats
MiniPlasma-exploiten visar hur sårbarheter för privilegieeskalering i Windows kan skapa allvarliga risker även efter vanliga säkerhetsuppdateringar. Den offentliga proof-of-concept-koden uppges ge angripare SYSTEM-nivååtkomst på fullt uppdaterade system, vilket gör problemet viktigt för försvarare att följa noggrant.
Microsoft har ännu inte bekräftat någon offentlig fix, vilket innebär att organisationer bör stärka övervakningen och minska lokala attackvägar medan de väntar på officiell vägledning.
0 svar till ”MiniPlasma-exploit väcker nya säkerhetsoro kring Windows”