На GitHub опубликован эксплойт MiniPlasma для повышения прав до SYSTEM в Windows 11
В Windows нашли новый способ поднять права до SYSTEM даже на полностью обновлённой системе. Исследователь под псевдонимом Chaotic Eclipse, также известный как Nightmare Eclipse, опубликовал на GitHub исходный код и готовый исполняемый файл эксплойта MiniPlasma, который использует ошибку в драйвере Cloud Filter.
По словам исследователя, уязвимость связана с драйвером cldflt.sys и процедурой HsmOsBlockPlaceholderAccess. Ту же проблему ещё в сентябре 2020 года описал исследователь Google Project Zero Джеймс Форшоу. Microsoft присвоила багу идентификатор CVE-2020-17103 и отчиталась об исправлении в декабрьском наборе обновлений 2020 года.
Chaotic Eclipse утверждает, что ошибка до сих пор присутствует в Windows. Исследователь заявил, что старый PoC-код (демонстрационный эксплойт) от Google Project Zero сработал без изменений, а значит Microsoft либо не закрыла проблему корректно, либо позже откатила исправление по неизвестной причине.
Мы проверили MiniPlasma на полностью обновлённой Windows 11 Pro с майскими патчами 2026 года. Тест запускали из обычной пользовательской учётной записи, после чего эксплойт открыл командную строку с привилегиями SYSTEM. Аналитик уязвимостей Tharros Уилл Дорман также подтвердил работоспособность эксплойта на последней публичной версии Windows 11, но отметил, что в свежей инсайдерской сборке Windows 11 Canary проблема уже не воспроизводится.
Не спрашивайте почему мы в MAX.
Судя по описанию, MiniPlasma злоупотребляет тем, как драйвер Windows Cloud Filter обрабатывает создание ключей реестра через недокументированный API (программный интерфейс) CfAbortHydration. В первоначальном отчёте Google Project Zero говорилось, что ошибка позволяет создавать произвольные ключи реестра в пользовательской ветке .DEFAULT без должной проверки прав доступа. При удачном использовании такой дефект открывает путь к повышению привилегий.
MiniPlasma стал очередным эксплойтом Windows, который Chaotic Eclipse опубликовал за последние недели. В апреле исследователь раскрыл BlueHammer — локальную уязвимость повышения привилегий CVE-2026-33825, затем RedSun, ещё один дефект повышения прав, и UnDefend — инструмент для DoS-атаки (атаки типа «отказ в обслуживании») на Windows Defender. После публикации все три проблемы заметили в реальных атаках. Сам исследователь утверждает, что Microsoft молча исправила RedSun без присвоения CVE.
В мае Chaotic Eclipse также выпустил YellowKey и GreenPlasma. YellowKey описан как обход BitLocker в Windows 11 и Windows Server 2022/2025. Инструмент запускает командную оболочку и даёт доступ к разблокированным дискам, если BitLocker настроен только на TPM (доверенный платформенный модуль) без дополнительной защиты.
Chaotic Eclipse объясняет публичные раскрытия конфликтом с Microsoft и недовольством программой вознаграждений за уязвимости, а также процессом обработки сообщений об уязвимостях. Microsoft ранее заявляла, что поддерживает координированное раскрытие уязвимостей, проверяет сообщения о проблемах безопасности и защищает клиентов через обновления.