MiniPlasma Windows zero-day
Chaotic Eclipse nyilvánosságra hozta a MiniPlasma Windows zero-day exploitot, amely teljesen frissített Windows 11 rendszereken is SYSTEM szintű jogosultság megszerzésére képes. A sérülékenység a cldflt.sys Cloud Filter driverben található, amelyet a OneDrive és más felhőszinkronizációs funkciók használnak. A kutató szerint különösen aggasztó, hogy a hiba valószínűleg kapcsolatban áll a 2020-ban már javítottnak jelölt CVE-2020-17103 sérülékenységgel, vagyis elképzelhető, hogy a korábbi javítás hiányos volt, vagy egy későbbi Windows-frissítés során a sérülékeny kód újra megjelent.
A MiniPlasma egy hibás jogosultságkezelési problémát használ ki a Cloud Filter egyik komponensében. A támadó egy normál felhasználói fiókból olyan registry műveleteket hajthat végre, amelyekhez normál esetben nem rendelkezne megfelelő jogosultsággal. Ezzel végül SYSTEM szintű hozzáférés szerezhető, ami gyakorlatilag teljes kontrollt jelent az érintett gép felett. A publikált proof-of-concept exploit működését több független kutató is megerősítette aktuálisan támogatott Windows 11 rendszereken.
A sérülékenység ugyan helyi hozzáférést igényel, de ez a modern támadási láncokban továbbra is rendkívül veszélyes. Egy kezdeti phishing vagy malware-fertőzés után az ilyen privilege escalation hibák segítségével a támadók adminisztrátori jogosultságot szerezhetnek, kikapcsolhatják a védelmi mechanizmusokat, laterális mozgást hajthatnak végre vagy ransomware-t telepíthetnek. A helyzetet súlyosbítja, hogy a működő exploitkód már nyilvánosan elérhető, így a sérülékenység gyorsan megjelenhet bűnözői eszköztárakban is.
Érdekesség, hogy a legfrissebb Windows Insider Canary buildben az exploit már nem működik, ami arra utalhat, hogy a Microsoft belső javításon dolgozik. Hivatalos biztonsági frissítés azonban egyelőre még nem érkezett, ezért a sérülékenység jelenleg aktív kockázatot jelenthet a Windows környezetekben.
