Nach Darstellung von Chaotic Eclipse ist exakt dasselbe Problem, das Google Project Zero an Microsoft meldete, weiterhin vorhanden und ungepatcht. „Ich bin mir nicht sicher, ob Microsoft das Problem nie behoben hat oder ob der Patch irgendwann aus unbekannten Gründen stillschweigend zurückgenommen wurde. Der ursprüngliche PoC von Google funktionierte ohne jede Änderung", erklärt der Forscher.
Auch Will Dormann, leitender Schwachstellenanalyst bei Tharros, bestätigte bei eigenen Tests, dass der Exploit auf der aktuellen öffentlichen Version von Windows 11 funktioniert. In der jüngsten Windows-11-Insider-Preview im Canary-Build greife die Lücke hingegen nicht.
Der Exploit nutzt offenbar aus, wie der Windows-Cloud-Filter-Treiber die Erstellung von Registry-Schlüsseln über die undokumentierte API „CfAbortHydration" handhabt. Forshaws ursprünglicher Bericht hielt fest, dass die Lücke das Anlegen beliebiger Registry-Schlüssel im „.DEFAULT"-Benutzer-Hive ohne ordnungsgemäße Zugriffsprüfungen ermöglichen und damit eine Rechteausweitung erlauben könne. Während Microsoft die Behebung als Teil des Patch Tuesday im Dezember 2020 verbuchte, hält Chaotic Eclipse die Schwachstelle weiterhin für ausnutzbar. BleepingComputer hat Microsoft zu diesem Zero-Day kontaktiert.
MiniPlasma reiht sich in eine Serie von Windows-Zero-Day-Veröffentlichungen ein, die der Forscher in den vergangenen Wochen publiziert hat. Begonnen hatte die Reihe im April mit „BlueHammer", einer lokalen Rechteausweitungslücke mit der Kennung CVE-2026-33825, gefolgt von einer weiteren Rechteausweitungslücke namens „RedSun" sowie dem Windows-Defender-DoS-Werkzeug „UnDefend". Nach ihrer Offenlegung wurden alle drei Schwachstellen bei Angriffen ausgenutzt. Laut dem Forscher hat Microsoft das RedSun-Problem stillschweigend und ohne Vergabe einer CVE-Kennung behoben.
In diesem Monat veröffentlichte der Forscher zudem zwei weitere Exploits namens „YellowKey" und „GreenPlasma". YellowKey ist eine BitLocker-Umgehung, die Windows 11 sowie Windows Server 2022/2025 betrifft und eine Befehlsshell startet, die Zugriff auf entsperrte Laufwerke gewährt, die durch reine TPM-BitLocker-Konfigurationen geschützt sind.
Chaotic Eclipse hat zuvor erklärt, die Windows-Zero-Days aus Protest gegen Microsofts Bug-Bounty- und Schwachstellenbearbeitungsprozess offenzulegen. „Normalerweise würde ich den Prozess durchlaufen und sie anflehen, einen Fehler zu beheben, aber kurz gesagt: Mir wurde von ihnen persönlich gesagt, dass sie mein Leben ruinieren würden, und das haben sie getan", behauptet der Forscher. Er beschreibt das Verhalten als kindische Spielchen und zeigt sich unsicher, ob er es mit einem Großkonzern oder mit jemandem zu tun habe, der schlicht Vergnügen an seinem Leid finde; es scheine jedoch eine kollektive Entscheidung zu sein.
Microsoft erklärte gegenüber BleepingComputer früher, man unterstütze die koordinierte Offenlegung von Schwachstellen und sei bestrebt, gemeldete Sicherheitsprobleme zu untersuchen und Kunden durch Updates zu schützen.
