Дослідник з безпеки під псевдонімом Chaotic Eclipse опублікував робочий експлойт MiniPlasma, що дає змогу отримати привілеї рівня SYSTEM на повністю оновлених системах Windows. Вразливість зачіпає драйвер cldflt.sys (Windows Cloud Files Mini Filter Driver) і, за даними дослідника, є тією самою проблемою, яку Google Project Zero виявив ще у 2020 році й яка, ймовірно, так і не була повноцінно усунена. Публічний PoC-код доступний на GitHub, що робить загрозу актуальною для всіх адміністраторів Windows-інфраструктури.

Технічні деталі вразливості

Вразливість локалізовано в процедурі HsmOsBlockPlaceholderAccess всередині драйвера cldflt.sys — мініфільтра, відповідального за роботу з хмарними файлами в Windows. За своєю природою це стан гонки (race condition), що означає змінну ймовірність успішної експлуатації залежно від конфігурації та навантаження цільової системи.

Хронологія проблеми заслуговує на окрему увагу:

• У вересні 2020 року дослідник Google Project Zero Джеймс Форшоу повідомив про проблему Microsoft.
• У грудні 2020 року Microsoft випустила виправлення в межах CVE-2020-17103.
• За твердженням Chaotic Eclipse, оригінальний PoC від Google Project Zero працює на актуальних системах без будь-яких модифікацій, що ставить під сумнів ефективність випущеного патча.

Дослідник зазначає, що незрозуміло, чи був патч від початку неповним, чи його відкочено на якомусь етапі. Для демонстрації проблеми він модифікував оригінальний PoC таким чином, щоб експлойт запускав командну оболонку з привілеями SYSTEM.

Незалежна валідація

Важливим підтвердженням працездатності експлойта стала незалежна перевірка, проведена відомим дослідником безпеки Віллом Дорманном. За його повідомленням у Mastodon, MiniPlasma «надійно» відкриває cmd.exe з привілеями SYSTEM на системах Windows 11 з установленими оновленнями за травень 2026 року. Водночас Дорманн зазначив, що експлойт не працює на останній збірці Windows 11 Insider Preview Canary, що може свідчити про наявність виправлення в попередніх збірках.

Цей факт опосередковано підтверджує, що Microsoft може бути поінформована про проблему й працює над виправленням, однак офіційного підтвердження від компанії на момент публікації немає.

Пов’язані вразливості в тому самому компоненті

Варто зазначити, що в грудні 2025 року Microsoft уже усувала іншу вразливість підвищення привілеїв у cldflt.sys — CVE-2025-62221 (CVSS 7.8), яка, за наявними даними, експлуатувалася невстановленими зловмисниками. Наявність кількох вразливостей в одному й тому самому драйвері вказує на системні проблеми із безпекою цього компонента.

Оцінка впливу

Локальне підвищення привілеїв до SYSTEM — один із найбільш критичних класів вразливостей для корпоративних середовищ. Отримавши доступ рівня SYSTEM, зловмисник може:

• відключати засоби захисту, зокрема антивірусне ПЗ та рішення класу EDR
• витягувати облікові дані з пам’яті процесів
• установлювати стійкі бекдори
• здійснювати латеральний рух мережею організації

Хоча для експлуатації потрібен локальний доступ до системи, на практиці це обмеження легко долається: зловмисники зазвичай отримують початковий доступ через фішинг або експлуатацію вебсервісів, а потім використовують вразливості підвищення привілеїв для закріплення. Публічна доступність PoC суттєво знижує поріг входу.

Рекомендації щодо захисту

До виходу офіційного виправлення від Microsoft рекомендується вжити такі заходи:

• Моніторинг активності cldflt.sys: налаштуйте правила виявлення в SIEM/EDR для відстеження аномальної активності, пов’язаної з драйвером Cloud Files Mini Filter. Звертайте увагу на нетиповий запуск процесів cmd.exe або powershell.exe з привілеями SYSTEM.
• Оцінка необхідності компонента: якщо функціональність хмарних файлів Windows (OneDrive, Windows Cloud Files) не використовується в інфраструктурі, розгляньте можливість вимкнення або обмеження завантаження драйвера cldflt.sys через групові політики.
• Посилення контролю доступу: мінімізуйте кількість користувачів із локальним доступом до серверів і робочих станцій. Вразливість потребує локального виконання коду, тому обмеження початкового доступу є ключовою лінією захисту.
• Відстеження оновлень: відстежуйте вихід патчів Microsoft, пов’язаних із cldflt.sys та CVE-2020-17103. Той факт, що експлойт не працює на Canary-збірках, може вказувати на швидку появу виправлення в стабільних версіях.

З огляду на публічну доступність робочого експлойта та незалежне підтвердження його працездатності на актуальних системах Windows 11, пріоритет реагування — високий. Організаціям слід негайно оцінити використання компонента Cloud Files Mini Filter у своїй інфраструктурі та запровадити компенсаторні заходи виявлення до виходу офіційного патча від Microsoft.