Im Zentrum steht der Windows Cloud Files Mini Filter Driver, die Datei „cldflt.sys". Die als MiniPlasma bezeichnete Schwachstelle liegt in der Routine „HsmOsBlockPlaceholderAccess" und erlaubt es einem Angreifer, auf einem vollständig gepatchten System SYSTEM-Rechte zu erlangen.
Die eigentliche Brisanz ergibt sich aus der Historie der Lücke. Gemeldet wurde sie ursprünglich im September 2020 von James Forshaw, einem Forscher von Google Project Zero. Microsoft galt das Problem im Dezember 2020 als geschlossen — adressiert unter CVE-2020-17103. Nach eigenen Untersuchungen von Chaotic Eclipse ist jedoch „exakt dasselbe Problem tatsächlich weiterhin vorhanden und ungepatcht".
Wie es dazu kam, kann der Forscher nicht sicher sagen. „Ich bin mir nicht sicher, ob Microsoft das Problem nie behoben hat oder ob der Patch irgendwann aus unbekannten Gründen stillschweigend zurückgenommen wurde. Der ursprüngliche PoC von Google funktionierte ohne jede Änderung", schreibt er. Um das zu verdeutlichen, habe er den Original-PoC so umgebaut, dass er eine SYSTEM-Shell öffnet. Das funktioniere auf seinen Rechnern zuverlässig, die Erfolgsquote könne aber schwanken, da es sich um eine Race Condition handele.
Nach Einschätzung von Chaotic Eclipse sind wahrscheinlich alle Windows-Versionen betroffen. Bestätigung kommt vom Sicherheitsforscher Will Dormann: In einem Beitrag auf Mastodon erklärte er, MiniPlasma öffne „zuverlässig" eine Eingabeaufforderung („cmd.exe") mit SYSTEM-Rechten auf Windows-11-Systemen mit den aktuellen Updates von Mai 2026. Auf der jüngsten Insider Preview im Canary-Kanal von Windows 11 scheine der Exploit dagegen nicht zu greifen, merkte Dormann an.
Im selben Treiber hatte Microsoft im Dezember 2025 bereits eine andere Schwachstelle zur Rechteausweitung geschlossen: CVE-2025-62221 mit einem CVSS-Wert von 7,8, die laut Microsoft von unbekannten Angreifern ausgenutzt wurde.
Chaotic Eclipse ist kein Unbekannter — auf den Forscher gehen auch die zuvor offengelegten Windows-Lücken YellowKey und GreenPlasma zurück.
