Хакер разозлился на Microsoft и выпустил инструмент для взлома любого компьютера с Windows 11

^{Фото Magnific}
Исследователь в области кибербезопасности, выступающий под псевдонимами Chaotic Eclipse и Nightmare Eclipse, опубликовал эксплойт для локального повышения привилегий в операционной системе Windows 11. Эксплойт, получивший название MiniPlasma, позволяет злоумышленнику из обычной учётной записи пользователя получить права SYSTEM. Согласно заявлению автора, проблема затрагивает драйвер cldflt.sys Windows Cloud Filter, а конкретно — его подпрограмму HsmOsBlockPlaceholderAccess. Журналисты BleepingComputer проверили эксплойт на Windows 11 Pro со всеми свежими обновлениями и подтвердили, что после его запуска открывается командная строка с привилегиями SYSTEM.
Уязвимость, которую эксплуатирует MiniPlasma, была впервые обнаружена и передана инженерам Microsoft в сентябре 2020 года исследователем Джеймсом Форшоу из Google Project Zero. Корпорация присвоила проблеме идентификатор CVE-2020-17103 и в том же году заявила о её устранении в рамках декабрьского обновления. Chaotic Eclipse утверждает, что эта проблема осталась, а оригинальный эксплойт от Google продолжает работать без каких-либо изменений. Исследователь допускает, что в Microsoft либо не закрыли уязвимость, либо патч был отозван по неизвестным причинам в каком-то более позднем обновлении. Аналитик по уязвимостям Уилл Дорманн из Tharros подтвердил, что проблема актуальна для последней публичной версии Windows 11, но не воспроизводится на свежей тестовой сборке Canary.
Технически эксплойт злоупотребляет тем, как драйвер Windows Cloud Filter обрабатывает создание ключей реестра через недокументированный интерфейс CfAbortHydration. Согласно оригинальному отчёту Google Project Zero, уязвимость позволяет создавать в реестре произвольные ключи без надлежащих проверок доступа, что ведёт к эскалации привилегий. 
Это уже не первое публичное раскрытие проблем в Windows от Chaotic Eclipse: в апреле и мае 2026 года он опубликовал эксплойты BlueHammer (CVE-2026-33825), RedSun, UnDefend, а также YellowKey и GreenPlasma, причём три из них были замечены в реальных атаках. Мотивом для подобных действий исследователь назвал личный конфликт с Microsoft и несогласие с процессом обработки сообщений об уязвимостях. Сама компания пока хранит молчание по поводу эксплойта MiniPlasma.