Le chercheur connu sous le nom Éclipse chaotique récemment publié une preuve de concept (PoC) qui profite d'une vulnérabilité des privilèges d'escalade sur Windows, baptisé comme MiniPlasme, qui devrait permettre à un attaquant d'obtenir des privilèges SYSTEM sur des machines apparemment complètement garées. L'échec est situé dans le contrôleur de filtre de fichiers dans le cloud Windows, CLDflt.sys, dans une routine appelée HsmOsBlockPlaceholderAccess ; selon l'auteur, la même racine du problème a été initialement signalée par James Forshaw de Google Project Zero en 2020.
L'histoire technique est pertinente : en septembre 2020, Forshaw a décrit un problème que Microsoft a atténué en décembre de la même année en vertu de CVE-2020-17103, mais Éclipse chaotique prétend que l'état initial - État de la race dans le mini-filtre code - il reste présent dans la pratique et le PoC original fonctionne inchangé pour produire une console avec des privilèges SYSTEM. La nature des conditions de course rend l'exploitation dépendante des timmings et de l'environnement, mais précisément pourquoi ils peuvent être difficiles à corriger de façon fiable et rester latent derrière les correctifs apparents; pour le contexte technique général, vous pouvez consulter les avertissements du Projet Zero et de Microsoft sur les vulnérabilités: Google Projet Zéro et Centre de réponse de sécurité de Microsoft.
Les implications pratiques sont claires et graves : une escalade locale vers SYSTÈME ouvre la porte pour le contrôle total de l'équipement, la persistance, l'installation des portes arrières et l'avancement latéral dans les réseaux d'entreprise. Plusieurs chercheurs externes, dont Will Dormann, ont indiqué que l'opération fonctionne de façon fiable dans les systèmes Windows 11 avec les mises à jour de mai 2026, mais pas dans toutes les branches d'Insider; cela suggère que le problème ne se limite pas à une version spécifique et que son risque est important dans les environnements hétérogènes.
Historiquement ce n'est pas la première fois que le cldflt. le composant sys apparaît dans les avis de sécurité : Microsoft a également traité en décembre 2025 une autre vulnérabilité d'escalade dans le même pilote (CVE-2025-62221) identifié comme étant exploité sur le terrain. Cet antécédent met en évidence deux points: d'une part, que les contrôleurs liés à l'intégration du stockage en nuage sont des cibles attrayantes pour leur position dans la pile du système; d'autre part, que l'atténuation peut nécessiter des examens profonds et des tests pour éviter les régressions ou les patchs incomplets.
Que peuvent et devraient faire les gestionnaires et les responsables de la sécurité en ce moment? Tout d'abord, de ne pas supposer que le terme "patching" signifie absence de risque: revoir les avis officiels et appliquer toutes les mises à jour recommandées par Microsoft. En outre, il convient de renforcer les contrôles compensatoires: réduire au minimum les privilèges locaux, appliquer des politiques de blocage de la mise en œuvre et la liste blanche, mettre en place des règles EDR et IMS pour détecter les processus inattendus fonctionnant sous le nom de NT AUTHORITY\\ SYSTEM (par exemple cmd.exe ou powershell.exe initiés avec ce jeton), et aux stations segmentées ayant accès à des données critiques pour limiter l'impact d'une escalade locale. Des bases publiques telles que NVD sont disponibles pour l'administration centrale et la recherche de CVE: NVD.
Pour les utilisateurs finaux, les recommandations sont pratiques et simples : tenir Windows à jour, éviter d'exécuter un code source peu fiable avec des privilèges élevés et envisager, lorsque c'est possible, de désactiver les fonctionnalités d'intégration du cloud qui ne sont pas utilisées (par exemple OneDrive On-Demand Files) jusqu'à ce qu'il y ait une clarté sur les correctifs finaux; ces mesures réduisent la surface d'attaque au composant affecté. Les essais d'exploitation devraient se limiter à des environnements de laboratoire contrôlés : faire fonctionner un PoC de production peut compromettre les systèmes et laisser les preuves difficiles à nettoyer.
Enfin, il est important de se rappeler que la publication du Programme d'action public accélère la nécessité d'interventions coordonnées : les équipes d'intervention en cas d'incidents doivent prioriser la détection des étapes locales, examiner la télémétrie historique à la recherche d'exécutions suspectes telles que des obus SYSTEM et préparer des plans de confinement. Maintenir la communication avec les fournisseurs, en suivant le canal officiel de Microsoft pour les mises à jour et la validation des correctifs dans les environnements de test avant de les déployer massivement sont des pratiques qui sont maintenant plus critiques que jamais.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...