Старая уязвимость повышения привилегий (EoV) в драйвере Cloud Filter «cldflt.sys» в Windows вновь стала проблемой для Microsoft: исследователи утверждают, что она по-прежнему эксплуатируется спустя шесть лет после предполагаемого исправления. Об уязвимости, о которой впервые сообщил Джеймс Форшоу из Google Project Zero в сентябре 2020 года, вновь заявил Nightmare Eclipse [...]. — csoonline.com
Старая уязвимость повышения привилегий (EoV), затрагивающая драйвер Cloud Filter «cldflt.sys» в Windows, вновь доставила проблем Microsoft, поскольку исследователи утверждают, что она по-прежнему эксплуатируется спустя шесть лет после того, как, как предполагалось, была исправлена.
Эта уязвимость, о которой впервые сообщил Microsoft исследователь Google Project Zero Джеймс Форшоу в сентябре 2020 года, была недавно обнаружена Nightmare Eclipse, исследователем, проводящим серию открытий уязвимостей в Windows, и переработана для получения привилегий уровня SYSTEM.
«Я не уверен, никогда ли Microsoft не устранила проблему или исправление было незаметно отменено в какой-то момент по неизвестным причинам», — заявил Eclipse в описании PoC writeup, назвав повторное обнаружение «MiniPlasma». «Оригинальный PoC от Google работал без каких-либо изменений».
PoC от Eclipse инициировал получение привилегий SYSTEM во всех версиях Windows, запущенных на машинах исследователя, но отметил, что «процент успеха может варьироваться, поскольку это состояние гонки».
«Эксплойт весьма достоверный, он работает на полностью пропатченных системах и подчеркивает огромный пробел в управлении устаревшими регрессионными ошибками», — сказал Агнидипта Саркар, главный евангелист ColorTokens. «Быстрый поиск показывает, что уязвимость находится в cldflt.sys (драйвер мини-фильтра Windows Cloud Files), в частности, в процедуре HsmOsBlockPlaceholderAccess, которая управляет функциональностью Cloud Sync (например, файлами-заполнителями OneDrive)».
Microsoft не сразу ответила на запрос CSO о комментариях.
Исправленный баг, который все еще работает
MiniPlasma воспроизвела старую проблему, отслеживаемую как CVE-2020-17103, связанную с тем, как Windows обрабатывает создание ключей через недокументированный API, связанный с драйвером Cloud Filter.
В первоначальном отчете Project Zero Форшоу описывался сценарий, при котором можно было создавать произвольные ключи реестра внутри куста пользователя «.DEFAULT» без надлежащих проверок доступа, что потенциально могло привести к локальному повышению привилегий. NIST присвоил этой уязвимости рейтинг CVSS «высокой степени опасности» 7.8, но Microsoft оспорила этот рейтинг, выставив собственную оценку CVSS 7.0 из 10.
«Поскольку это ошибка локального повышения привилегий (LPE), ее нельзя использовать для первоначального удаленного проникновения в систему», — сказал Саркар. «И это обнадеживает, поскольку это требует бокового перемещения, которому можно противодействовать с помощью современной микросегментации в безагентной модели, интегрированной с EDR, такой как CrowdStrike/Defender/SentinelOne и т. д., реализованной менее чем за день для изоляции уязвимых систем до применения исправления от Microsoft».
Microsoft исправила эту проблему в декабре 2020 года, заявив, что эксплуатация уязвимости «маловероятна», поскольку оценила сложность атаки как «высокую».
Однако Eclipse утверждает, что ошибочное поведение никогда по-настоящему не исчезало. В описании отмечается, что исходная цепочка эксплойтов 2020 года по-прежнему успешна в современных сборках Windows, позволяя стандартной учетной записи пользователя напрямую повысить привилегии до SYSTEM.
«Я не знаю, почему Microsoft это пропустила, но я предполагаю, что они заблокировали только определенный побочный канал, а не всю процедуру, или это был случайный промах», — добавил Саркар. «В любом случае, в эпоху Mythos это, безусловно, серьезная проблема».
Исследователь безопасности Уилл Дорманн подтвердил, что ошибочное поведение сохранилось и в последних майских обновлениях, хотя он отметил, что эксплойт не сработал в последней сборке Windows 11 Canary Insider, что позволяет предположить, что Microsoft, возможно, уже тайно тестирует меры по смягчению последствий.
Неясно, использовалась ли эта уязвимость в реальных атаках за эти годы, помимо нескольких опубликованных PoC.
Серия раскрытий уязвимостей Windows от Nightmare-Eclipse продолжает расти
MiniPlasma — лишь последняя в том, что стало одним из самых хаотичных циклов раскрытия уязвимостей Windows в 2026 году.
Серия началась с BlueHammer, уязвимости повышения привилегий в Windows Defender, которой позже был присвоен номер CVE-2026-33825. За этим последовали RedSun и UnDefend — еще два раскрытия информации о повышении привилегий и отказе в обслуживании в Windows. Позже Huntress сообщила, что обнаружила инструменты BlueHammer, RedSun и UnDefend во время реального расследования вторжения, связанного с подозрительной активностью VPN и действиями злоумышленника с клавиатуры.
Ранее в этом месяце Eclipse также выпустила YellowKey и GreenPlasma. YellowKey предположительно обходит защиту BitLocker, требующую TPM, злоупотребляя поведением среды восстановления Windows для получения доступа к командной строке зашифрованных дисков, в то время как GreenPlasma — это еще одна локальная техника повышения привилегий, направленная на достижение доступа SYSTEM.
Именно во время последующего расследования техники GreenPlasma Eclipse наткнулась на MiniPlasma. «После повторного изучения техники, использованной в GreenPlasma (в частности, SetPolicyVal), оказалось, что ‘cldflt!HsmOsBlockPlaceholderAccess’ по-прежнему уязвим к той же самой проблеме, о которой сообщили Microsoft 6 лет назад», — сказал Eclipse.
Сообщается, что исследователь не согласился с тем, как Microsoft обработала раскрытие BlueHammer, что делает последующую серию PoC уязвимостей Windows особенно интересной.
«За последние несколько недель Nightmare-Eclipse выпустила неустанную серию раскрытий уязвимостей нулевого дня/регрессий», — отметил Саркар. «Время — это подсказка: MiniPlasma была выпущена 13 мая 2026 года — ровно через день после цикла Patch Tuesday в мае от Microsoft, гарантируя, что у защитников не будет официального исправления от вендора в течение нескольких недель. Но да, именно здесь помогает микросегментация, интегрированная с существующими платформами EDR».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma