MiniPlasma Zero-Day: Vollständig gepatchte Windows 11-Systeme angreifbar

Der Forscher Chaotic Eclipse hat eine funktionierende Windows-Sicherheitslücke entdeckt, die Systemzugriff auf vollständig gepatchten Windows 11-Rechnern ermöglicht, einschließlich solcher mit dem neuesten Patch-Tuesday-Update vom Mai 2026.

Die Sicherheitslücke mit dem Namen MiniPlasma wurde kürzlich zusammen mit dem Quellcode und einer kompilierten ausführbaren Datei auf GitHub veröffentlicht. BleepingComputer bestätigte die Funktionsfähigkeit auf einem Standardbenutzerkonto und öffnete eine Eingabeaufforderung mit Systemrechten auf einer frisch installierten Windows 11 Pro-Version. Der Sicherheitsforscher Will Dormann von Tharros verifizierte die Ergebnisse unabhängig.

Ein Fehler, der eigentlich bereits 2020 behoben sein sollte

Die Schwachstelle befindet sich im Windows-Cloud-Filter-Treiber cldflt.sys, genauer gesagt in einer Routine namens HsmOsBlockPlaceholderAccess. Der Fehler ist nicht neu. Der Google-Project-Zero-Forscher James Forshaw meldete dasselbe Problem bereits im September 2020 an Microsoft. Es wurde unter der Nummer CVE-2020-17103 registriert und angeblich im Dezember desselben Jahres behoben. Chaotic Eclipse führte Forshaws ursprünglichen Proof-of-Concept unverändert aus und berichtet, dass er einwandfrei funktionierte. „Ich bin mir nicht sicher, ob Microsoft das Problem einfach nie behoben hat oder ob der Patch aus unbekannten Gründen irgendwann stillschweigend zurückgezogen wurde“, schrieb der Forscher in seiner Veröffentlichung.

Der Exploit nutzt die Art und Weise aus, wie der Cloud-Filter-Treiber die Erstellung von Registrierungsschlüsseln über eine undokumentierte API handhabt. Dadurch kann ein Standardbenutzer beliebige Registrierungsschlüssel im .DEFAULT-Benutzerverzeichnis erstellen, ohne dass die Zugriffskontrollen dies verhindern. Da es sich um eine Race Condition handelt, variiert die Erfolgsrate. Die von BleepingComputer bestätigten Ergebnisse deuten jedoch darauf hin, dass der Exploit auf realer Hardware zuverlässig genug ist. Eine Ausnahme: Er funktioniert nicht mit der neuesten Windows 11 Insider Preview Canary-Version.

Teil einer gezielten Kampagne

Microsoft ist bereits die zweite Windows-Zero-Day-Sicherheitslücke, die Chaotic Eclipse innerhalb von sechs Wochen veröffentlicht hat. Der Forscher begann im April mit BlueHammer, einer Schwachstelle in Windows Defender zur lokalen Privilegieneskalation, die Microsoft am 14. April, dem Patch Tuesday, als CVE-2026-33825 behob – nur wenige Tage, nachdem sie am 3. April öffentlich gemacht worden war. Darauf folgte RedSun, eine weitere LPE-Schwachstelle in Defender, die Microsoft Berichten zufolge stillschweigend behob, ohne eine CVE-Nummer zu vergeben. Anschließend folgte UnDefend, ein Defender-Denial-of-Service-Tool, das Updates der Sicherheitsdefinitionen blockiert. Danach kam YellowKey, ein BitLocker-Bypass, der verschlüsselte Laufwerke über die WinRE-Wiederherstellungsumgebung entsperrt. Es folgte GreenPlasma, eine Privilegieneskalation im CTFMON-Framework, bei der der Forscher einen Teil des Exploit-Codes zurückhielt. Nun schließlich MiniPlasma.

Bei allen drei ursprünglichen Exploits – BlueHammer, RedSun und UnDefend – wurde laut Huntress-Forschern kurz nach Veröffentlichung bestätigt, dass sie in realen Angriffen ausgenutzt wurden. Der Forscher begründet die Veröffentlichungen mit Unzufriedenheit darüber, wie Microsoft Bug-Bounty-Meldungen behandelt und Patches überprüft. Zu MiniPlasma hat sich Microsoft bislang nicht spezifisch geäußert. Das Unternehmen erklärte zuvor gegenüber BleepingComputer, dass es „die koordinierte Offenlegung von Sicherheitslücken“ als etablierte Branchenpraxis unterstützt.