Ο Chaotic Eclipse, ο ερευνητής ασφαλείας πίσω από τις πρόσφατες ευπάθειες YellowKey και GreenPlasma στα Windows, δημοσίευσε ένα δοκιμαστικό κώδικα (Proof-of-Concept) για ένα κενό ασφαλείας μηδενικής ημέρας (zero-day) που επιτρέπει την κλιμάκωση προνομίων. Η ευπάθεια αυτή επιτρέπει σε επιτιθέμενους να αποκτήσουν δικαιώματα SYSTEM σε πλήρως ενημερωμένα συστήματα Windows.
Η ευπάθεια, με την κωδική ονομασία MiniPlasma, επηρεάζει το αρχείο «cldflt.sys», το οποίο αποτελεί το πρόγραμμα οδήγησης φίλτρου αρχείων cloud των Windows (Windows Cloud Files Mini Filter Driver), και εντοπίζεται σε μια ρουτίνα με την ονομασία «HsmOsBlockPlaceholderAccess». Το πρόβλημα είχε αναφερθεί αρχικά στη Microsoft από τον ερευνητή του Google Project Zero, James Forshaw, τον Σεπτέμβριο του 2020.
Ένα παλιό πρόβλημα που παραμένει ανεπαρκώς διορθωμένο
Αν και θεωρήθηκε ότι η Microsoft είχε επιδιορθώσει το συγκεκριμένο σφάλμα τον Δεκέμβριο του 2020 στο πλαίσιο της ευπάθειας CVE-2020-17103, ο Chaotic Eclipse δήλωσε ότι η περαιτέρω έρευνα αποκάλυψε πως το ίδιο ακριβώς ζήτημα παραμένει παρόν και ανεπιφύλακτα απειλητικό, χωρίς να έχει διορθωθεί.
Ο ερευνητής ανέφερε ότι δεν είναι σαφές αν η Microsoft δεν εξέδωσε ποτέ την κατάλληλη διόρθωση ή αν η επιδιόρθωση αποσύρθηκε σιωπηρά σε κάποια φάση για άγνωστους λόγους. Το αρχικό δοκιμαστικό λογισμικό της Google λειτούργησε χωρίς καμία τροποποίηση, με τον ερευνητή να το μετατρέπει σε όπλο ώστε να ανοίγει ένα κέλυφος εντολών με δικαιώματα SYSTEM. Η επιτυχία της μεθόδου μπορεί να διαφέρει ανάλογα με το σύστημα, καθώς βασίζεται σε συνθήκη ανταγωνισμού (race condition).
Επηρεάζονται όλες οι εκδόσεις των Windows
Ο Chaotic Eclipse επισήμανε ότι όλες οι εκδόσεις των Windows είναι πιθανό να επηρεάζονται από τη συγκεκριμένη ευπάθεια.
Σε ανάρτησή του στην πλατφόρμα Mastodon, ο ερευνητής ασφαλείας Will Dormann επιβεβαίωσε ότι το MiniPlasma λειτουργεί αξιόπιστα για το άνοιγμα ενός παραθύρου εντολών «cmd.exe» με προνόμια SYSTEM σε συστήματα Windows 11 που φέρουν τις πιο πρόσφατες ενημερώσεις του Μαΐου 2026. Σημείωσε, ωστόσο, ότι η μέθοδος δεν φαίνεται να λειτουργεί στην τελευταία έκδοση Insider Preview Canary των Windows 11.
Αξίζει να σημειωθεί ότι τον Δεκέμβριο του 2025, η Microsoft είχε αντιμετωπίσει μια άλλη ευπάθεια κλιμάκωσης προνομίων στο ίδιο ακριβώς στοιχείο (CVE-2025-62221, με βαθμολογία CVSS: 7.8), η οποία είχε αναγνωριστεί ότι βρισκόταν υπό εκμετάλλευση από άγνωστους ψηφιακούς εισβολείς.
