Der Forscher als Chaotic Eclipse vor kurzem veröffentlichte ein Beweis-of-concept (PoC), das eine Schwachstelle von Kletterrechten unter Windows nutzt, getauft wie MiniPlasma, die angeblich einem Angreifer erlaubt, SYSTEM Privilegien auf scheinbar vollgeparkten Maschinen zu erhalten. Der Fehler befindet sich in der Dateifiltersteuerung in der Windows-Cloud, wohnzimmer., in einer Routine namens HsmOsBlockPlaceholderAccess; nach dem Autor wurde die gleiche Wurzel des Problems ursprünglich von James Forshaw von Google Project Zero in 2020 gemeldet.
Die technische Geschichte ist relevant: Im September 2020 beschreibt Forshaw ein Problem, dass Microsoft im Dezember dieses Jahres unter CVE-2020-17103 gemildert, aber Chaotic Eclipse behauptet, dass die ursprüngliche Bedingung - ein Rassenbedingung im Mini-Filter-Code - es bleibt in der Praxis vorhanden und das ursprüngliche PoC funktioniert unverändert, um eine Konsole mit SYSTEM Privilegien zu produzieren. Die Natur der Race-Bedingungen macht die Ausbeutung abhängig von den Beschneidungen und der Umwelt, aber genau, warum sie schwierig sein können, zuverlässig zu korrigieren und hinter offensichtlichen Patches latent zu bleiben; für den allgemeinen technischen Kontext können Sie Project Zero und Microsofts Warnungen auf Schwachstellen konsultieren: Google Project Zero und Microsoft Security Response Center.
Die praktischen Auswirkungen sind klar und ernst: eine lokale Eskalation SYSTEM öffnet die Tür für die gesamte Ausrüstungskontrolle, Beharrlichkeit, Backdoors Installation und seitliche Fortschritte in Unternehmensnetzwerken. Mehrere externe Forscher, darunter Will Dormann, zeigten, dass die Operation in Windows 11 Systemen mit den Aktualisierungen vom Mai 2026 zuverlässig funktioniert, obwohl nicht in allen Zweigen von Insider; dies deutet darauf hin, dass das Problem nicht auf eine bestimmte Version beschränkt ist und dass sein Risiko in heterogenen Umgebungen signifikant ist.
Historisch ist es nicht das erste Mal, dass der Cldflt. sys-Komponente erscheint in Sicherheitshinweisen: Microsoft behandelte auch im Dezember 2025 eine weitere kletternde Sicherheitslücke im gleichen Fahrer (CVE-2025-62221) identifiziert als im Feld ausgenutzt. Diese Vorkenntnisse weisen zwei Punkte auf: Zum einen sind die Steuerungen im Zusammenhang mit der Cloud-Speicherintegration attraktive Ziele für ihre Position im Systemstapel; zum anderen kann eine Minderung tiefe Überprüfungen und Tests erfordern, um Regressionen oder unvollständige Patches zu vermeiden.
Was können und sollten Manager und Sicherheitsbeamte jetzt tun? Vor allem, nicht anzunehmen, dass "patching" kein Risiko bedeutet: offizielle Hinweise überprüfen und alle Microsoft empfohlenen Updates anwenden. Darüber hinaus ist es angebracht, die Ausgleichskontrollen zu stärken: die lokalen Privilegien auf das erforderliche Minimum zu reduzieren, die Umsetzungssperrrichtlinien und die Whitelisting anzuwenden, die EDR- und IMS-Regeln einzurichten, um unerwartete Prozesse zu erkennen, die als NT AUTHORITY\ SYSTEM (z.B. cmd.exe oder powerhell.exe mit diesem Token initiiert) ausgeführt werden, und Stationen mit Zugriff auf kritische Daten zu segmentieren, um die Auswirkungen einer lokalen Eskalation zu begrenzen. Öffentliche Basen wie NVD stehen für zentrale Verwaltung und Suche nach CVE zur Verfügung: NVD.
Für Endbenutzer sind die Empfehlungen praktisch und einfach: halten Sie Windows auf dem neuesten Stand, vermeiden Sie unzuverlässigen Quellcode mit hohen Privilegien und betrachten, wenn möglich, deaktivieren Sie die Cloud-Integration Funktionen, die nicht verwendet werden (z.B. OneDrive On-Demand Files), bis es Klarheit auf Endbenutzern gibt; diese Maßnahmen reduzieren die Angriffsfläche auf die betroffene Komponente. Betriebstests sollten auf kontrollierte Laborumgebungen beschränkt sein: Die Produktion von PoC kann Systeme kompromittieren und Beweise schwer zu reinigen lassen.
Schließlich ist es wichtig zu erinnern, dass die Veröffentlichung des öffentlichen PoC die Notwendigkeit koordinierter Antworten beschleunigt: Vorfall-Responsorteams müssen die Erkennung lokaler Schritte priorisieren, historische Telemetrie auf der Suche nach verdächtigen Hinrichtungen wie SYSTEM Shells überprüfen und Eindämmungspläne vorbereiten. Kommunikation mit Lieferanten zu pflegen, nach dem offiziellen Microsoft-Kanal für Updates und Validierung von Patches in Testumgebungen, bevor sie massiv eingesetzt werden, sind Praktiken, die jetzt kritischer als je zuvor sind.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...