Опасная уязвимость в драйвере Windows, которая, как предполагалось, должна была быть исправлена еще в конце 2020 года, по-видимому, все еще существует. Исследователь безопасности, известный под псевдонимом Chaotic Eclipse, который недавно обнаружил несколько незакрытых брешей в Windows, опубликовал новый эксплойт для этой уязвимости (откроется в новом окне). С его помощью злоумышленники могут получить системные привилегии в Windows.
Эксплойт получил название Miniplasma (откроется в новом окне). По словам самого Chaotic Eclipse, он протестировал его в Windows 11 и Windows Server 2025. В обоих случаях эксплойт сработал, несмотря на установленные последние обновления, и запустил оболочку с системными правами. Исследователь полагает, что уязвимы все версии Windows.
Исследователь безопасности Уилл Дорман также подтвердил в Mastodon (откроется в новом окне), что успешно протестировал эксплойт Miniplasma в Windows 11 (сборки 25H2 и 26H1) с установленными майскими обновлениями. В качестве доказательства он предоставил несколько скриншотов вывода эксплойта и командной строки, запущенной с правами пользователя "System".
Старый эксплойт снова работает – или все еще работает?
По словам Chaotic Eclipse, используемая уязвимость — это CVE-2020-17103 (откроется в новом окне), первоначально обнаруженная исследователем Google по имени Джеймс Форшоу (откроется в новом окне). Причина, вероятно, кроется в том, как драйвер фильтра мини-портов облачных файлов Windows (Windows Cloud Files Mini Filter Driver) обрабатывает создание определенных ключей реестра. Злоумышленники с локальным доступом к уязвимой системе могут использовать эту уязвимость для повышения своих привилегий.
Как можно предположить из идентификатора CVE, уязвимость CVE-2020-17103 должна была быть исправлена еще в конце 2020 года. Однако, как обнаружил Chaotic Eclipse в ходе собственных исследований, эксплойт, когда-то предоставленный Google, все еще работает. "Я не уверен, что Microsoft просто никогда не исправляла эту проблему или что патч был по неизвестным причинам тихо отозван", — сказал исследователь.
По имеющимся данным, Miniplasma основан на оригинальном эксплойте Google и был лишь немного изменен для запуска системной оболочки. Однако, как объяснил Chaotic Eclipse, процент успешных попыток может варьироваться, поскольку эксплойт основан на состоянии гонки (race condition). Если у атакующего достаточно времени, это обычно не является серьезным препятствием, так как выполнение эксплойта можно просто повторять сколь угодно долго, пока он не сработает.
Исследователь идет на эскалацию после разногласий с Microsoft
За последние несколько недель Chaotic Eclipse уже обнаружил несколько zero-day-уязвимостей в различных компонентах Windows, включая Bluehammer, Redsun, Yellowkey и Greenplasma, прежде чем Microsoft успела их исправить. Исследователь неоднократно объяснял свои действия тем, как ранее Microsoft обращалась с ним в рамках процедуры ответственного раскрытия уязвимостей.
Подробности того, что именно произошло, Chaotic Eclipse пока не раскрывает. Однако в преддверии следующего "вторника обновлений" он анонсировал "большой сюрприз" для Microsoft. Таким образом, в ближайшие недели, вероятно, последуют новые zero-day-эксплойты.