MiniPlasma-Exploit missbraucht cldflt.sys für SYSTEM-Zugriff

Foto des Autors

CyberSecureFox Editorial Team

Der Sicherheitsforscher mit dem Pseudonym Chaotic Eclipse hat den funktionierenden Exploit MiniPlasma veröffentlicht, der es ermöglicht, Privilegien auf SYSTEM-Ebene auf vollständig aktualisierten Windows-Systemen zu erlangen. Die Schwachstelle betrifft den Treiber cldflt.sys (Windows Cloud Files Mini Filter Driver) und stellt nach Angaben des Forschers dasselbe Problem dar, das Google Project Zero bereits 2020 entdeckt hat und das offenbar bis heute nicht vollständig behoben wurde. Der öffentliche PoC-Code ist auf GitHub verfügbar, was die Bedrohung für alle Administratoren von Windows-Infrastrukturen akut macht.

Technische Details der Schwachstelle

Die Schwachstelle liegt in der Prozedur HsmOsBlockPlaceholderAccess innerhalb des Treibers cldflt.sys – eines Mini-Filters, der für die Verarbeitung von Cloud-Dateien in Windows verantwortlich ist. Von ihrer Natur her handelt es sich um eine Race Condition, was bedeutet, dass der Erfolg der Ausnutzung je nach Konfiguration und Auslastung des Zielsystems variieren kann.

Der zeitliche Ablauf des Problems ist besonders bemerkenswert:

Der Forscher merkt an, dass unklar ist, ob der Patch von Anfang an unvollständig war oder zu einem späteren Zeitpunkt zurückgenommen wurde. Zur Demonstration des Problems hat er den ursprünglichen PoC so modifiziert, dass der Exploit eine Kommandozeilen-Shell mit SYSTEM-Rechten startet.

Unabhängige Validierung

Ein wichtiges Indiz für die Funktionsfähigkeit des Exploits ist die unabhängige Überprüfung durch den bekannten Sicherheitsforscher Will Dormann. In seinem Beitrag auf Mastodon berichtet er, dass MiniPlasma „zuverlässig“ eine cmd.exe mit SYSTEM-Rechten auf Windows-11-Systemen mit den Updates vom Mai 2026 öffnet. Dormann wies jedoch darauf hin, dass der Exploit auf dem neuesten Windows 11 Insider Preview Canary-Build nicht funktioniert, was auf eine vorhandene Korrektur in Vorab-Builds hindeuten könnte.

Dies bestätigt indirekt, dass Microsoft über das Problem informiert sein könnte und an einer Behebung arbeitet, jedoch liegt zum Zeitpunkt der Veröffentlichung noch keine offizielle Bestätigung des Unternehmens vor.

Verwandte Schwachstellen in derselben Komponente

Es ist erwähnenswert, dass Microsoft bereits im Dezember 2025 eine andere Schwachstelle zur Privilegienerhöhung in cldflt.sys behoben hat – CVE-2025-62221 (CVSS 7.8), die nach vorliegenden Informationen von bislang nicht identifizierten Angreifern ausgenutzt wurde. Das Vorhandensein mehrerer Schwachstellen im selben Treiber weist auf systemische Sicherheitsprobleme dieser Komponente hin.

Bewertung der Auswirkungen

Eine lokale Privilegienerhöhung bis hin zu SYSTEM gehört zu den kritischsten Klassen von Schwachstellen in Unternehmensumgebungen. Erlangt ein Angreifer SYSTEM-Zugriff, kann er:

  • Schutzmechanismen deaktivieren, einschließlich Antiviren-Software und EDR-Lösungen
  • Anmeldedaten aus dem Speicher von Prozessen extrahieren
  • persistente Backdoors installieren
  • sich lateral im Netzwerk der Organisation bewegen

Zwar ist für die Ausnutzung lokaler Zugriff auf das System erforderlich, dieses Erfordernis lässt sich in der Praxis jedoch leicht überwinden: Angreifer erlangen den Erstzugang in der Regel über Phishing oder die Ausnutzung von Web-Services und nutzen anschließend Schwachstellen zur Privilegienerhöhung, um sich festzusetzen. Die öffentliche Verfügbarkeit des PoC senkt die Einstiegshürde deutlich.

Empfehlungen zum Schutz

Bis zur Veröffentlichung eines offiziellen Patches von Microsoft wird empfohlen, die folgenden Maßnahmen zu ergreifen:

  • Überwachung der Aktivität von cldflt.sys: Konfigurieren Sie Erkennungsregeln in SIEM-/EDR-Lösungen, um ungewöhnliche Aktivitäten im Zusammenhang mit dem Cloud Files Mini Filter-Treiber zu überwachen. Achten Sie insbesondere auf untypische Starts von Prozessen wie cmd.exe oder powershell.exe mit SYSTEM-Rechten.
  • Bewertung der Notwendigkeit der Komponente: Wenn die Windows-Funktionalität für Cloud-Dateien (OneDrive, Windows Cloud Files) in der Infrastruktur nicht genutzt wird, prüfen Sie die Möglichkeit, das Laden des Treibers cldflt.sys über Gruppenrichtlinien zu deaktivieren oder einzuschränken.
  • Stärkung der Zugriffskontrolle: Minimieren Sie die Anzahl von Nutzern mit lokalem Zugriff auf Server und Workstations. Die Schwachstelle erfordert lokale Codeausführung, daher ist die Einschränkung des initialen Zugriffs eine zentrale Verteidigungslinie.
  • Verfolgung von Updates: Überwachen Sie die Veröffentlichung von Microsoft-Patches im Zusammenhang mit cldflt.sys und CVE-2020-17103. Die Tatsache, dass der Exploit auf Canary-Builds nicht funktioniert, könnte auf ein baldiges Erscheinen eines Fixes in stabilen Versionen hindeuten.

Angesichts der öffentlichen Verfügbarkeit eines funktionierenden Exploits und der unabhängigen Bestätigung seiner Wirksamkeit auf aktuellen Windows-11-Systemen ist die Reaktionspriorität hoch. Organisationen sollten umgehend bewerten, in welchem Umfang der Cloud Files Mini Filter in ihrer Infrastruktur eingesetzt wird, und kompensierende Erkennungsmaßnahmen implementieren, bis ein offizieller Patch von Microsoft verfügbar ist.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen