SchwachstellenHackerangriffeDatenschutz

MiniPlasma-Exploit: Forscher veröffentlicht Windows-Lücke, die Microsoft nicht gepatcht haben soll

Von CyberDeutsch Redaktion
MiniPlasma-Exploit: Forscher veröffentlicht Windows-Lücke, die Microsoft nicht gepatcht haben soll
Zusammenfassung

Ein neuer kritischer Sicherheitsmangel im Windows-Betriebssystem gefährdet potenziell Millionen von Computern weltweit. Ein Sicherheitsforscher hat einen funktionsfähigen Exploit für eine sogenannte "MiniPlasma"-Sicherheitslücke veröffentlicht, die es Angreifern ermöglicht, mit SYSTEM-Rechten – den höchsten Privilegien im Windows-System – auf vollständig aktualisierten Computern zuzugreifen. Betroffen ist dabei der Cloud-Filter-Treiber (cldflt.sys) von Windows. Besonders besorgniserregend ist, dass Microsoft diese Schwachstelle bereits 2020 als CVE-2020-17103 bekannt war und angeblich gefixt wurde – der Exploit funktioniert jedoch unverändert auch auf den neuesten Windows-11-Versionen aus dem Mai 2026. Dies betrifft sowohl deutsche Einzelnutzer als auch Unternehmen und Behörden erheblich, da der Exploit mit Standard-Benutzerrechten ausgeführt werden kann und damit ein massives Risiko für Datenschutz und Systemintegrität darstellt. Die Veröffentlichung des Exploit-Codes beschleunigt zudem das Risiko von Angriffen in der Praxis erheblich.

Der Exploit wurde mit Quellcode und kompilierter ausführbarer Datei veröffentlicht – ein aggressiver Schritt, der sowohl die Sicherheitscommunity als auch Microsoft unter Druck setzt. Der Forscher testete den Exploit auf vollständig aktualisierten Systemen, einschließlich Windows 11 Pro mit den Mai-2026-Sicherheitsupdates. Das Ergebnis: Ein Befehlsfenster mit vollständigen SYSTEM-Rechten öffnete sich nach wenigen Sekunden.

Die technische Grundlage der Lücke liegt in der “HsmOsBlockPlaceholderAccess”-Routine des Cloud Filter Drivers. Der Exploit missbraucht die Handhabung der Registry-Schlüsselerstellung durch die undokumentierte CfAbridation-API. Dies ermöglicht es, beliebige Registry-Schlüssel in der .DEFAULT-Benutzerhive ohne ordnungsgemäße Zugriffsprüfungen zu erstellen – ideale Bedingungen für Privilege Escalation.

Besonders bemerkenswert: Der ursprüngliche Proof-of-Concept von Google-Forscher James Forshaw funktioniert nach Aussage des aktuellen Forschers unverändert. Dies deutet darauf hin, dass entweder kein echtes Patch stattfand oder ein einmal eingespieltes Update später wieder zurückgerollt wurde. Microsoft hat sich bislang nicht öffentlich zu diesen Vorwürfen geäußert.

Dieser MiniPlasma-Exploit ist Teil einer bemerkenswerten Veröffentlichungsserie. In den letzten Wochen gab der Forscher mehrere Windows-Exploits frei: BlueHammer (CVE-2026-33825), RedSun, UnDefend, YellowKey und GreenPlasma. YellowKey ist besonders kritisch – es umgeht BitLocker auf Windows 11 und Windows Server 2022/2025 durch TPM-Only-Konfigurationen.

Der Forscher begründet die öffentliche Disclosure damit, dass Microsoft ihn bei der Bug-Bounty-Bearbeitung schlecht behandelt habe. Er spricht von Drohungen und behauptet, Microsoft habe sein Leben “zerstört”. Diese persönliche Komponente erklärt die aggressive Strategie, alle Exploits ohne Abstimmung zu veröffentlichen.

Für deutsche Organisationen ist dies ein Weckruf: Windows-Systeme könnten stärker exponiert sein als angenommen. IT-Security-Teams sollten sofort handeln – zunächst durch Netzwerk-Segmentierung und erhöhte Überwachung, bis Microsoft eine echte Korrektur bereitstellt. Das BSI wird hierzu zeitnah Handlungsempfehlungen ausgeben.

Ähnliche Artikel