MiniPlasma 零日漏洞可让完全打补丁的 Windows 11 进入系统运行环境

一位名为 Chaotic Eclipse 的研究人员发布了一个有效的 Windows 权限升级漏洞，该漏洞可在已打完全补丁的 Windows 11 机器（包括运行最新的 5 月 2026 日补丁星期二更新的机器）上授予 SYSTEM 访问权限。

这个名为 MiniPlasma 的漏洞利用程序最近连同源代码和编译后的可执行文件一起发布在GitHub 上。.BleepingComputer 证实该漏洞可在标准用户账户上运行，并可在新安装的 Windows 11 Pro 上打开 SYSTEM 级命令提示符。Tharros 的安全研究员 Will Dormann 独立验证了这一结果。

本应在 2020 年修复的漏洞

该漏洞存在于 Windows 云过滤器驱动程序 cldflt.sys，特别是一个名为 HsmOsBlockPlaceholderAccess 的例程中。这个漏洞并不新鲜。谷歌 "零项目 "研究员詹姆斯-福肖（James Forshaw）在2020年9月向微软报告了同样的问题，该问题被归类为CVE-2020-17103，并据称在同年12月打上了补丁。Chaotic Eclipse未经修改运行了Forshaw的原始概念验证，并报告称它可以正常工作。"我不确定微软是从未修补过该问题，还是出于不明原因在某个时间点悄悄回滚了补丁，"该研究人员在披露的信息上写道。

该漏洞利用了云过滤器驱动程序通过未注明的 API 处理注册表键值创建的方式，允许标准用户在 .DEFAULT 用户蜂巢中创建任意注册表键值，而无需进行本应阻止它们的访问检查。这涉及一个竞赛条件，因此成功率各不相同，但BleepingComputer 的证实的结果表明，它在真实硬件上足够可靠。但有一个例外：它无法在最新的 Windows 11 Insider Preview Canary 版本上运行。

蓄意活动的一部分

MiniPlasma 是Chaotic Eclipse 在过去六周内披露的又一个 Windows 零日漏洞。在过去六周内披露的又一个 Windows 零日漏洞。该研究人员从 4 月份的 BlueHammer 开始，这是一个 Windows Defender 本地权限升级漏洞，微软在 4 月 14 日的补丁星期二将其修补为 CVE-2026-33825，而这距离 4 月 3 日该漏洞被公开披露仅过去了几天。紧随其后的是 RedSun，这是 Defender 中的第二个 LPE，据说微软在没有指定 CVE 的情况下对其进行了静默修复。紧接着是UnDefend，这是一个可阻止安全定义更新的Defender拒绝服务工具。然后是 YellowKey，这是一种 BitLocker 旁路，可通过 WinRE 恢复环境解锁加密驱动器。然后是 GreenPlasma，这是一款 CTFMON 框架权限升级工具，研究人员保留了部分利用代码。现在是 MiniPlasma。

所有三个原始漏洞，BlueHammer、RedSun 和 UnDefend，都在公开披露后不久被 Huntress 研究人员证实在实际攻击中被利用。研究人员明确指出了发布这些漏洞的原因：对微软处理漏洞悬赏报告和补丁验证的方式不满。微软尚未对 MiniPlasma 发表具体评论。该公司之前告诉 BleepingComputer，它 "支持协调漏洞披露"，这是业界广泛采用的做法。