Le zero-day MiniPlasma permet d'accéder au système d'exploitation sous Windows 11 entièrement corrigé

Un chercheur connu sous le nom de Chaotic Eclipse a publié un exploit d'escalade des privilèges Windows qui permet d'accéder au système SYSTEM sur des machines Windows 11 entièrement corrigées, y compris celles qui utilisent la dernière mise à jour du Patch Tuesday de mai 2026.

L'exploit, baptisé MiniPlasma, a été publié récemment avec le code source et un exécutable compilé sur GitHub. BleepingComputer a confirmé qu'il fonctionne sur un compte utilisateur standard, ouvrant une invite de commande de niveau SYSTEM sur une installation récente de Windows 11 Pro. Le chercheur en sécurité Will Dormann de Tharros a vérifié les résultats de manière indépendante.

Un bug censé être corrigé en 2020

La faille se trouve dans le pilote Windows Cloud Filter, cldflt.sys, plus précisément dans une routine appelée HsmOsBlockPlaceholderAccess. Le bogue n'est pas nouveau. James Forshaw, chercheur du Google Project Zero, a signalé le même problème à Microsoft en septembre 2020, qui lui a attribué le numéro CVE-2020-17103 et l'a prétendument corrigé en décembre de la même année. Chaotic Eclipse a exécuté la preuve de concept originale de Forshaw sans modification et rapporte qu'elle a fonctionné telle quelle. "Je ne sais pas si Microsoft n'a jamais corrigé le problème ou si le correctif a été retiré silencieusement à un moment donné pour des raisons inconnues", a écrit le chercheur sur la divulgation.

L'exploit exploite la façon dont le pilote Cloud Filter gère la création de clés de registre par le biais d'une API non documentée, ce qui permet à un utilisateur standard de créer des clés de registre arbitraires dans le répertoire de stockage de l'utilisateur .DEFAULT sans les contrôles d'accès qui devraient l'en empêcher. Cela implique une condition de course, donc le taux de réussite varie, mais Les résultats confirmés de BleepingComputer confirment qu'il est suffisamment fiable sur du matériel réel. Une exception : elle ne fonctionne pas sur la dernière version Canary de Windows 11 Insider Preview.

Une campagne délibérée

MiniPlasma est une nouvelle divulgation d'un jour zéro Windows par Chaotic Eclipse au cours des six dernières semaines. Le chercheur a commencé en avril avec BlueHammer, une vulnérabilité locale d'escalade des privilèges de Windows Defender que Microsoft a corrigée le 14 avril lors du Patch Tuesday en tant que CVE-2026-33825, quelques jours seulement après qu'elle ait été divulguée publiquement le 3 avril. Elle a été suivie par RedSun, une deuxième vulnérabilité d'escalade locale des privilèges dans Defender que Microsoft aurait corrigée silencieusement sans attribuer de CVE. UnDefend, un outil de déni de service de Defender qui bloque les mises à jour des définitions de sécurité, est venu ensuite. Puis YellowKey, un contournement de BitLocker qui déverrouille les lecteurs cryptés via l'environnement de récupération WinRE. Puis GreenPlasma, une escalade des privilèges dans le cadre de CTFMON pour laquelle le chercheur a dissimulé une partie du code d'exploitation. Et maintenant MiniPlasma.

Les trois exploits originaux, BlueHammer, RedSun et UnDefend, ont été confirmés comme étant exploités dans des attaques réelles par les chercheurs de Huntress peu de temps après leur divulgation publique. Le chercheur explique explicitement la raison de la publication de ces exploits : il est mécontent de la manière dont Microsoft gère les rapports de bug bounty et la vérification des correctifs. Microsoft n'a pas commenté MiniPlasma en particulier. La société a précédemment déclaré à BleepingComputer qu'elle "soutient la divulgation coordonnée des vulnérabilités" en tant que pratique largement adoptée par l'industrie.