Ein Forscher, der sich Chaotic Eclipse (auch bekannt als Nightmare Eclipse) nennt, hat in GitHub eine Konzepttestexplosion veröffentlicht, genannt MiniPlasma die, nach Ihren Tests und denen von Dritten, können Sie Privilegien zu SYSTEM in Windows-Einrichtungen zu skalieren, die, im Aussehen, vollständig gepatelt sind.
Die Schwachstelle betrifft den Windows Cloud Filter Treiber, der als wohnzimmer., und nutzt eine Routine, die mit dem Prozess der "Hydration" von Dateien in der Cloud durch eine unaufgeforderte API (CfAbortHydration) verbunden ist. Die Technik ermöglicht es Ihnen, beliebige Einträge in der . DEFAULT Registrierung hive ohne korrekte Zugriffskontrollen, die als Vektor dienen können, um Privilegien von einem Standard-Benutzerkonto auf SYSTEM zu erhöhen.
Dieser Fehler wurde ursprünglich von James Forshaw von Google Project Zero im Jahr 2020 gemeldet und als CVE-2020-17103 mit einem Patch von Microsoft im Dezember dieses Jahres veröffentlicht. Der zentrale Punkt der Veröffentlichung von MiniPlasma ist, dass, nach Chaotic Eclipse, das Problem trotz dieser Patch - entweder die Korrektur nie richtig erreicht alle Versionen oder wurde umgekehrt - und das Original 2020 PoC ohne Änderungen über aktuelle Systeme gearbeitet.
Unabhängige Tests von Medienforschern und Reaktionsteams bestätigen, dass MiniPlasma in den letzten öffentlichen Versionen von Windows 11 (einschließlich Mai 2026 Patch-Editionen) arbeitet, obwohl nicht im letzten Gebäude des Insider-Kanals zum Zeitpunkt der Tests. Dies deutet darauf hin, dass Microsoft die interne Minderung testen kann oder dass die Exposition von bestimmten Kombinationen von Versionen und Systemkomponenten abhängig ist.
Die eigentliche Schwerkraft einer Eskalation an SYSTEM kann nicht unterschätzt werden: Ein lokaler Angreifer mit der Fähigkeit, Code auszuführen (z.B. durch Phishing, das Binär- oder Anhänge läuft, oder durch einen anderen lokalen Ausführungsfehler) könnte MiniPlasma verwenden, um die volle Kontrolle des Systems zu übernehmen, persistente Backdoors zu installieren, Erkennungs- und Exfilterdaten zu deaktivieren. In Business-Umgebungen erleichtert dies Seitenbewegungen und Erhebungen zu Domänen mit kritischen Konsequenzen.
Neben den technischen Auswirkungen führt die Form der Offenlegung zu einer ethischen Debatte. Der Autor hat gesagt, dass er Exploits veröffentlicht, um gegen seine Erfahrung mit dem Belohnungsprogramm des Lieferanten und Sicherheitsmanagement, und in den letzten Wochen hat er bereits andere PoC (BlueHammer, RedSun, YellowKey, GreenPlasma) veröffentlicht. Die Veröffentlichung von Funktionscode presst Lieferanten aber auch beschleunigt das Belichtungsfenster für Organisationen, die noch keine Minderung angewendet haben.
Bei Sicherheitsmanagern und -geräten sollte die unmittelbare Priorität darin bestehen, den Risikobereich zu reduzieren und die Nachweisfähigkeit zu erhöhen. Praktische Empfehlungen umfassen die Bereitstellung und Sicherstellung einer modernen EDR / AV-Lösung mit Verhaltenstelemetrie, Aktivierung und Abstimmung von Sysmon-Regeln, um Änderungen in der Platte und Schlüsselerstellung in HKEY _ USERS\ .DEFAULT aufzuzeichnen und nach Zeichen von Prozessen zu suchen, die versuchen, den Cldflt zu manipulieren. sys driver oder ungewöhnliche Anrufe im Zusammenhang mit Cloud-Datei Hydratation. IOC-Suche sollten sich auf Binaries aus öffentlichen Repositories konzentrieren, die PoC und High Shells entsprechen, die in Standard-Benutzerkonten erscheinen.
Was die vorläufige technische Minderung betrifft, sollten Optionen, die Fahrer oder Systemfunktionen betreffen, zunächst in einem Labor getestet werden, da sie legitime Funktionalitäten wie OneDrive Files On-Demand brechen können. Es ist bevorzugt, Kompensatorsteuerungen anzuwenden: die Anzahl der Konten mit lokalen Privilegien zu reduzieren, die Ausführungsrichtlinien (AppLocker oder Windows Defender Application Control) zu verschärfen, die Fähigkeit der Benutzer zu beschränken, Software zu installieren und Sperrrichtlinien für Internet-Download-Geräte zu verwenden. Bewahren Sie eine Bestandsaufnahme von Endpunkten und priorisieren Sie die Aufmerksamkeit auf Maschinen mit Zugriff auf sensible Daten oder kritische Dienste.
Wenn Ihre Organisation eine potenzielle Ausbeutung erkennt, die betroffenen Geräte isolieren, das entsprechende Login (Sysmon, EDR, Windows Event Logs) bewahren und mit einer forensischen Analyse fortfahren. Benachrichtigen Sie die Sicherheitsoffiziere und melden Sie gegebenenfalls den Vorfall an Microsoft und die Notfall-Responsorteams über Ihr Unternehmen. Für technisches Follow-up und historischen Kontext, siehe sowohl den ursprünglichen Projekt Zero-Bericht als auch die Registerkarte CVE: Projekt Zero Bericht und der offizielle Microsoft-Eintrag in Ihrem Update-Guide CVE-2020-17103.
Es ist auch nützlich, die eigene Veröffentlichung des Autors und das Repository zu überprüfen, in dem die PoC hochgeladen wurde, um das operationelle Risiko zu verstehen und über spezifische Maßnahmen zur Blockierung von Indikatoren zu entscheiden, zum Beispiel durch Blockierung von Downloads dieser URL in Proxy- und Filtersystemen: GitHub's Nightmare-Eclipse Profil. Führen Sie PoC nicht in produktiven Netzwerken ohne kontrollierte Umgebung aus: Dies kann Schäden oder offene rechtliche Haftung verursachen.
Kurz gesagt erinnert MiniPlasma daran, dass die Existenz eines deklarierten Patches nicht immer eine vollständige Risikobehebung bedeutet. Organisationen sollten Patches, tiefgreifende Verteidigung, Systemwechsel Sichtbarkeit und schnelle Antwortverfahren kombinieren. Die Priorität besteht nun darin, potenzielle Betriebe zu identifizieren, die Auswirkungen auf kritische Vermögenswerte zu mildern und die offizielle Microsoft-Kommunikation zu überwachen, um endgültige Korrekturen anzuwenden, sobald sie veröffentlicht werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...