Un chercheur en cybersécurité a rendu public un programme qui exploite une vulnérabilité de Windows, appelée MiniPlasma. Cette faille, qui était encore inconnue, permet aux attaquants d’obtenir les privilèges système sur des machines Windows complètement à jour.
L’exploit a été publié par un chercheur connu sous le pseudonyme Chaotic Eclipse. Il a mis en ligne le code source et un fichier exécutable sur GitHub. Il affirme que Microsoft n’a pas corrigé correctement une vulnérabilité qui avait déjà été signalée en 2020.
Selon le chercheur, la faille concerne le pilote de filtre cloud cldflt.sys et sa routine HsmOsBlockPlaceholderAccess. Cette vulnérabilité avait été initialement rapportée à Microsoft par un chercheur du Google Project Zero, James Forshaw, en septembre 2020.
À cette époque, la faille avait obtenu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif en décembre 2020.
« Après investigation, il s’avère que le problème exact qui avait été signalé à Microsoft par Google Project Zero est toujours présent, et non corrigé », explique Chaotic Eclipse.
« Je ne sais pas si Microsoft n’a jamais corrigé la faille ou si le correctif a été retiré silencieusement pour des raisons obscures. Le programme de test original de Google fonctionne sans aucune modification. »
Des tests ont été réalisés sur un système Windows 11 Pro, complètement à jour avec les dernières corrections du mois de mai. Un compte utilisateur standard a été utilisé. Après l’exécution du programme, une fenêtre de commande s’est ouverte avec les privilèges système, comme le montre l’image ci-dessous.
Will Dormann, analyste principal des vulnérabilités chez Tharros, a confirmé que l’exploit fonctionne dans ses tests sur la dernière version publique de Windows 11. Cependant, il a indiqué que la faille ne fonctionne pas dans la dernière version de test interne Canary de Windows 11.
L’exploit semble exploiter la manière dont le pilote de filtre cloud Windows gère la création de clés de registre via une API non documentée, CfAbortHydration. Le rapport original de Forshaw indiquait que la faille pourrait permettre la création arbitraire de clés de registre dans la base de registre utilisateur .DEFAULT sans les vérifications d’accès appropriées, ce qui pourrait conduire à une élévation de privilèges.
Alors que Microsoft avait annoncé la correction du bug dans ses mises à jour de décembre 2020, Chaotic Eclipse déclare maintenant que la vulnérabilité peut encore être exploitée.
MiniPlasma est la dernière d’une série de vulnérabilités Windows révélées par ce chercheur ces dernières semaines.
La série de divulgations a commencé en avril avec BlueHammer, une faille d’élévation de privilèges locaux identifiée comme CVE-2026-33825. Elle a été suivie par une autre vulnérabilité d’élévation de privilèges, RedSun, et par un outil de déni de service pour Windows Defender, UnDefend.
Après leur divulgation, ces trois vulnérabilités ont été observées dans des attaques actives. Selon le chercheur, Microsoft a corrigé silencieusement le problème RedSun sans lui attribuer un identifiant CVE.
Ce mois-ci, le chercheur a aussi publié deux exploits supplémentaires nommés YellowKey et GreenPlasma.
YellowKey contourne BitLocker sur Windows 11 et Windows Server 2022/2025. Il génère une interface de commande qui donne accès aux disques déverrouillés qui sont protégés par des configurations BitLocker utilisant uniquement le TPM.
Chaotic Eclipse a précédemment déclaré qu’il révèle publiquement ces vulnérabilités Windows en signe de protestation contre le processus de gestion des bugs et des vulnérabilités de Microsoft.
« Normalement, je suivrais le processus pour supplier qu’ils corrigent un bug, mais pour résumer, ils m’ont personnellement dit qu’ils détruiraient ma vie, et ils l’ont fait. Je ne sais pas si je suis le seul qui a eu cette expérience horrible ou si quelques personnes l’ont subie, mais je pense que la plupart l’acceptent et limitent leurs pertes. Pour moi, ils ont pris tout ce que j’avais », a affirmé le chercheur.
« Ils m’ont passé un savon et ont joué tous les tours infantiles possibles. C’était tellement grave que à certains moments je me demandais si je faisais face à une corporation massive ou à une personne qui s’amuse à me voir souffrir, mais cela semble être une décision collective. »
Microsoft a précédemment déclaré qu’il soutient la divulgation coordonnée des vulnérabilités et qu’il s’engage à investiguer les problèmes de sécurité rapportés et à protéger les clients via des mises à jour.