Un chercheur qui s'appelle Eclipse Chaotique (également connu sous le nom de Nightmare Eclipse) a publié dans GitHub une explosion de test concept appelé MiniPlasme qui, selon vos tests et ceux de tiers, vous permet d'écheller les privilèges à SYSTEM dans les installations Windows qui sont, en apparence, complètement patchés.
La vulnérabilité affecte le pilote Cloud Filter de Windows, identifié comme CLDflt.sys, et exploite une routine liée au processus de "hydratation" des fichiers dans le cloud à travers une API sans papiers (CfAbortHydration). La technique vous permet de créer des entrées arbitraires dans le . Ruche d'enregistrement DEFAULT sans vérification d'accès correcte, qui peut servir de vecteur pour augmenter les privilèges d'un compte utilisateur standard à SYSTEM.
Cet échec avait initialement été signalé par James Forshaw de Google Project Zero en 2020 et assigné comme CVE-2020-17103 avec un patch publié par Microsoft en décembre de cette année. Le point central de la publication de MiniPlasma est que, selon l'Eclipse Chaotique, le problème persiste malgré ce patch - soit la correction n'a jamais correctement atteint toutes les versions ou a été inversé - et le POC original 2020 a fonctionné sans changements sur les systèmes actuels.
Des tests indépendants effectués par des chercheurs en médias et des équipes de réponse confirment que MiniPlasma fonctionne dans les versions publiques récentes de Windows 11 (y compris les éditions patch de mai 2026), mais pas dans le dernier bâtiment du canal Insider au moment des tests. Cela suggère que Microsoft peut tester l'atténuation interne ou que l'exposition dépend de combinaisons spécifiques de versions et de composants du système.
La gravité réelle d'une escalade vers SYSTEM ne peut être sous-estimée : un attaquant local ayant la capacité d'exécuter du code (par exemple par phishing qui exécute des binaires ou des pièces jointes, ou par un autre bug d'exécution local) pourrait utiliser MiniPlasma pour prendre le contrôle complet du système, installer des portes arrières persistantes, désactiver la détection et exfilter des données. Dans les milieux d'affaires, cela facilite les mouvements latéraux et les élévations vers des domaines aux conséquences critiques.
Outre l'impact technique, la forme de divulgation soulève un débat éthique. L'auteur a déclaré qu'il publie des exploits pour protester contre son expérience avec le programme de récompense du fournisseur et la gestion de la vulnérabilité, et les semaines précédentes il a déjà publié d'autres PoC (BlueHammer, RedSun, YellowKey, GreenPlasma). Le code fonctionnel de publication presse les fournisseurs mais accélère également la fenêtre d'exposition pour les organisations qui n'ont pas encore appliqué d'atténuation.
Pour les gestionnaires de la sécurité et l'équipement, la priorité immédiate devrait être de réduire la zone de risque et d'accroître la capacité de détection. Les recommandations pratiques incluent le déploiement et la garantie d'une solution moderne EDR / AV avec télémétrie de comportement, l'activation et le réglage des règles Sysmon pour enregistrer les changements dans le disque et la création de clé dans HKEY _ USERS\\ .DEFAULT, et la recherche de signes de processus qui tentent de manipuler la cldflt. sys driver ou faire des appels inhabituels liés à l'hydratation des fichiers cloud. Les recherches du CIO devraient se concentrer sur les binaires provenant de dépôts publics qui correspondent au PoC et aux shells élevés qui apparaissent dans les comptes utilisateurs standard.
En ce qui concerne l'atténuation technique provisoire, les options impliquant des pilotes invalidants ou des fonctions système devraient être testées d'abord en laboratoire, car elles peuvent briser des fonctionnalités légitimes telles que OneDrive Files On-Demand. Il est préférable d'appliquer des contrôles compensatoires: réduire le nombre de comptes avec des privilèges locaux, resserrer les politiques d'exécution (AppLocker ou Windows Defender Application Control), restreindre la capacité des utilisateurs d'installer des logiciels et utiliser des politiques de blocage pour les appareils téléchargés sur Internet. Tenir un inventaire des paramètres et accorder la priorité aux machines ayant accès à des données sensibles ou à des services critiques.
Si votre organisation détecte une exploitation potentielle, isolez l'équipement touché, conservez la connexion pertinente (Sysmon, EDR, Windows Event Logs) et effectuez une analyse médico-légale. Prévenez les agents de sécurité et, le cas échéant, signalez l'incident à Microsoft et aux équipes d'intervention en utilisant votre entreprise. Pour le suivi technique et le contexte historique, voir à la fois le rapport original du projet Zéro et l'onglet CVE : Rapport du projet Zéro et l'entrée officielle de Microsoft dans votre guide de mise à jour CVE-2020-17103.
Il est également utile d'examiner la propre publication de l'auteur et le dépôt où le PoC a téléchargé pour comprendre le risque opérationnel et de décider des mesures spécifiques pour bloquer les indicateurs, par exemple en bloquant les téléchargements de cette URL dans les systèmes de proxy et de filtrage: Profil Nightmare-Eclipse de GitHub. Ne pas exécuter le PAC dans des réseaux productifs sans environnement contrôlé : cela peut causer des dommages ou une responsabilité juridique ouverte.
En bref, MiniPlasma rappelle que l'existence d'un patch déclaré n'équivaut pas toujours à une élimination complète du risque. Les organisations devraient combiner les correctifs, la défense approfondie, la visibilité du changement de système et les procédures d'intervention rapide. La priorité est maintenant d'identifier les avoirs potentiels, d'atténuer l'impact sur les actifs essentiels et de surveiller les communications officielles de Microsoft pour appliquer les corrections finales dès qu'elles sont publiées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...