Nowa podatność zero-day Windows

 Nowa podatność zero-day o nazwie MiniPlasma zagraża systemom Windows 11 i Windows Server. Opublikowany w sieci exploit pozwala na lokalne podniesienie uprawnień do poziomu SYSTEM poprzez lukę w sterowniku Cloud Filter (cldflt.sys). Analizujemy techniczne aspekty luki, która powróciła po rzekomym załataniu w 2020 roku, oraz przedstawiamy skutki tego zagrożenia dla bezpieczeństwa systemów IT w przedsiębiorstwach.

W świecie korporacyjnego IT kwestia integralności systemów operacyjnych stanowi fundament ciągłości działania biznesu. Ostatnie doniesienia z rynku cyberbezpieczeństwa wskazują na pojawienie się krytycznego zagrożenia dla środowisk opartych na platformie Microsoft. Badacz bezpieczeństwa kryjący się pod pseudonimem Chaotic Eclipse opublikował w serwisie GitHub w pełni funkcjonalny kod dowodzący koncepcji (Proof of Concept) dla nowej podatności typu zero-day, oznaczonej jako MiniPlasma. Luka ta umożliwia lokalne podniesienie uprawnień do najwyższego poziomu SYSTEM, co w praktyce oznacza przejęcie całkowitej kontroli nad zainfekowaną stacją roboczą lub serwerem przez nieuwierzytelnionego w pełni użytkownika. Zagrożenie jest o tyle poważne, że podatność dotyczy systemów z zainstalowanymi najnowszymi poprawkami bezpieczeństwa, w tym z pakietu Patch Tuesday z maja 2026 roku.

Sytuacja ta wywołuje spore poruszenie wśród architektów bezpieczeństwa, ponieważ MiniPlasma nie jest całkowicie nowym odkryciem, lecz reinkarnacją luki zidentyfikowanej pierwotnie w 2020 roku przez Jamesa Forshawa z elitarnego zespołu Google Project Zero. W tamtym czasie błąd otrzymał identyfikator CVE-2020-17103 i według oficjalnych komunikatów Microsoftu został skutecznie usunięty w grudniu 2020 roku. Analiza przeprowadzona przez Chaotic Eclipse dowodzi jednak, że oryginalny exploit przygotowany przez Google działa w obecnych wersjach systemu bez jakichkolwiek modyfikacji. Oznacza to, że wcześniejsza łatka mogła zostać wadliwie zaimplementowana lub została nieświadomie usunięta podczas kolejnych aktualizacji kodu źródłowego przez programistów Microsoftu.

Skuteczność exploita została niezależnie potwierdzona przez redakcję BleepingComputer na w pełni zaktualizowanym systemie Windows 11 Pro, gdzie uruchomienie kodu z poziomu standardowego konta użytkownika zaowocowało natychmiastowym otwarciem wiersza poleceń z uprawnieniami struktury SYSTEM. Podobne wnioski przedstawił Will Dormann, główny analityk podatności w firmie Tharros, wskazując jednocześnie, że problem nie występuje jedynie w najnowszych, testowych kompilacjach Windows 11 Insider Preview z kanału Canary. Dla menedżerów IT w Polsce, gdzie według szacunków rynkowych systemy Windows kontrolują ponad 75 procent środowisk desktopowych w przedsiębiorstwach, oznacza to konieczność natychmiastowej weryfikacji procedur detekcji zagrożeń wewnątrzarchitektonicznych.
Techniczne podłoże mechanizmu cldflt.sys

Głęboka analiza kodu podatności wskazuje na wadliwe funkcjonowanie sterownika Cloud Filter ukrytego pod plikiem cldflt.sys, a dokładniej jego wewnętrznej rutyny odpowiedzialnej za blokowanie dostępu do obiektów zastępczych, znanej jako HsmOsBlockPlaceholderAccess. Sterownik ten odpowiada w systemie operacyjnym za integrację lokalnego systemu plików z magazynami chmurowymi, zarządzając procesami dehydratacji i hydratacji plików, czyli pobieraniem ich zawartości na żądanie użytkownika. MiniPlasma nadużywa sposobu, w jaki wspomniany komponent obsługuje tworzenie kluczy rejestru systemowego za pośrednictwem nieudokumentowanego, wewnętrznego interfejsu programistycznego aplikacji o nazwie CfAbortHydration.

Błąd architektoniczny polega na braku należytej weryfikacji uprawnień (access checks) podczas wywoływania tego interfejsu. W efekcie napastnik posiadający jedynie uprawnienia lokalnego, nisko uprzywilejowanego użytkownika jest w stanie wymusić na sterowniku utworzenie dowolnych struktur i kluczy rejestru w chronionej gałęzi hive .DEFAULT. Ponieważ sterownik działa w kontekście jądra systemu, operacje te są wykonywane z najwyższymi możliwymi uprawnieniami. Poprzez modyfikację kluczy rejestru odpowiedzialnych za usługi systemowe lub procedury startowe, cyberprzestępca może wstrzyknąć złośliwy kod, który zostanie wykonany przez system podczas kolejnej operacji powiązanej z filtrem chmurowym, finalnie eskalując uprawnienia do poziomu SYSTEM.

Problem ten uwypukla szerszą dyskusję na temat długu technologicznego w kodzie systemów operacyjnych oraz bezpieczeństwa nieudokumentowanych funkcji API. Dla zespołów SOC (Security Operations Center) kluczowe staje się monitorowanie nietypowych zachowań sterownika cldflt.sys oraz wszelkich prób modyfikacji rejestru w gałęzi .DEFAULT inicjowanych przez procesy użytkownika. Z perspektywy inżynierii wstecznej fakt, że pięcioletnia podatność powróciła do statusu zero-day, stawia pod znakiem zapytania procesy regresyjne weryfikacji kodu u dostawcy oprogramowania.
Konflikt wokół Bug Bounty i konsekwencje dla strategii IT

Upublicznienie exploita MiniPlasma to część większej kampanii prowadzonej przez Chaotic Eclipse. W ciągu ostatnich kilku tygodni badacz ten wydał serię narzędzi i podatności zero-day, takich jak BlueHammer (CVE-2026-33825), RedSun, UnDefend, YellowKey oraz GreenPlasma, z których część została już zauważona w realnych atakach przeprowadzanych przez grupy przestępcze. YellowKey na przykład pozwala na obejście szyfrowania BitLocker w specyficznych konfiguracjach TPM na systemach Windows 11 i Windows Server 2022/2025. Działania te mają charakter otwartego protestu przeciwko polityce korporacji Microsoft w zakresie obsługi zgłoszeń i funkcjonowania programów Bug Bounty. Rezultat tego konfliktu uderza bezpośrednio w bezpieczeństwo organizacji biznesowych, które stają się zakładnikami w sporze pomiędzy niezależnymi badaczami a globalnym dostawcą.

Z punktu widzenia strategii zarządzania ryzykiem IT w przedsiębiorstwach, sytuacja ta wymusza odejście od reaktywnego modelu opartego wyłącznie na comiesięcznych aktualizacjach systemowych. Skoro najnowsze pakiety poprawek nie zabezpieczają przed exploitem SYSTEM, dyrektorzy ds. bezpieczeństwa (CISO) muszą wdrożyć zaawansowane mechanizmy detekcji anomalii oparte na zachowaniu (Behavioral Monitoring) oraz architekturę Zero Trust na poziomie punktów końcowych. Microsoft został oficjalnie powiadomiony o problemie przez media technologiczne, jednak do momentu wydania oficjalnej, zweryfikowanej poprawki, organizacje muszą polegać na własnych systemach EDR (Endpoint Detection and Response) oraz ścisłej kontroli kont z uprawnieniami administratora, aby minimalizować wektory potencjalnego ataku.

Żródło:https://www.computerworld.pl