Исследователь безопасности под псевдонимом Chaotic Eclipse опубликовал рабочий эксплойт MiniPlasma, позволяющий получить привилегии уровня SYSTEM на полностью обновлённых системах Windows. Уязвимость затрагивает драйвер cldflt.sys (Windows Cloud Files Mini Filter Driver) и, по данным исследователя, представляет собой ту же проблему, которую Google Project Zero обнаружил ещё в 2020 году и которая, предположительно, так и не была полноценно устранена. Публичный PoC-код доступен на GitHub, что делает угрозу актуальной для всех администраторов Windows-инфраструктуры.

Технические детали уязвимости

Уязвимость локализована в процедуре HsmOsBlockPlaceholderAccess внутри драйвера cldflt.sys — мини-фильтра, отвечающего за работу с облачными файлами в Windows. По своей природе это состояние гонки (race condition), что означает вариативность успешности эксплуатации в зависимости от конфигурации и нагрузки целевой системы.

Хронология проблемы заслуживает особого внимания:

• В сентябре 2020 года исследователь Google Project Zero Джеймс Форшоу сообщил о проблеме в Microsoft.
• В декабре 2020 года Microsoft выпустила исправление в рамках CVE-2020-17103.
• По утверждению Chaotic Eclipse, оригинальный PoC от Google Project Zero работает на актуальных системах без каких-либо модификаций, что ставит под вопрос эффективность выпущенного патча.

Исследователь отмечает, что неясно, был ли патч изначально неполным или был откачен на каком-то этапе. Для демонстрации проблемы он модифицировал оригинальный PoC таким образом, чтобы эксплойт порождал командную оболочку с привилегиями SYSTEM.

Независимая валидация

Важным подтверждением работоспособности эксплойта стала независимая проверка, проведённая известным исследователем безопасности Уиллом Дорманном. По его сообщению в Mastodon, MiniPlasma «надёжно» открывает cmd.exe с привилегиями SYSTEM на системах Windows 11 с установленными обновлениями за май 2026 года. При этом Дорманн указал, что эксплойт не работает на последней сборке Windows 11 Insider Preview Canary, что может свидетельствовать о наличии исправления в предварительных сборках.

Этот факт косвенно подтверждает, что Microsoft может быть осведомлена о проблеме и работает над исправлением, однако официального подтверждения от компании на момент публикации нет.

Связанные уязвимости в том же компоненте

Стоит отметить, что в декабре 2025 года Microsoft уже устраняла другую уязвимость повышения привилегий в cldflt.sys — CVE-2025-62221 (CVSS 7.8), которая, по имеющимся данным, эксплуатировалась неустановленными злоумышленниками. Наличие нескольких уязвимостей в одном и том же драйвере указывает на системные проблемы с безопасностью этого компонента.

Оценка воздействия

Локальное повышение привилегий до SYSTEM — один из наиболее критичных классов уязвимостей для корпоративных сред. Получив SYSTEM-доступ, атакующий может:

• Отключать средства защиты, включая антивирусное ПО и EDR-решения
• Извлекать учётные данные из памяти процессов
• Устанавливать постоянные бэкдоры
• Перемещаться латерально по сети организации

Хотя для эксплуатации требуется локальный доступ к системе, на практике это ограничение легко преодолевается: атакующие обычно получают начальный доступ через фишинг или эксплуатацию веб-сервисов, а затем используют уязвимости повышения привилегий для закрепления. Публичная доступность PoC существенно снижает порог входа.

Рекомендации по защите

До выпуска официального исправления от Microsoft рекомендуется предпринять следующие меры:

• Мониторинг активности cldflt.sys: настройте правила обнаружения в SIEM/EDR для отслеживания аномальной активности, связанной с драйвером Cloud Files Mini Filter. Обращайте внимание на нетипичные порождения процессов cmd.exe или powershell.exe с привилегиями SYSTEM.
• Оценка необходимости компонента: если функциональность облачных файлов Windows (OneDrive, Windows Cloud Files) не используется в инфраструктуре, рассмотрите возможность отключения или ограничения загрузки драйвера cldflt.sys через групповые политики.
• Усиление контроля доступа: минимизируйте количество пользователей с локальным доступом к серверам и рабочим станциям. Уязвимость требует локального выполнения кода, поэтому ограничение начального доступа — ключевой рубеж защиты.
• Отслеживание обновлений: контролируйте выпуск патчей Microsoft, связанных с cldflt.sys и CVE-2020-17103. Тот факт, что эксплойт не работает на Canary-сборках, может указывать на скорое появление исправления в стабильных версиях.

Учитывая публичную доступность рабочего эксплойта и независимое подтверждение его работоспособности на актуальных системах Windows 11, приоритет реагирования — высокий. Организациям следует немедленно оценить использование компонента Cloud Files Mini Filter в своей инфраструктуре и внедрить компенсирующие меры обнаружения до выхода официального патча от Microsoft.