SchwachstellenHackerangriffeWindows-Sicherheit

MiniPlasma: Kritische Windows-Lücke ermöglicht Systemrechte auch auf aktuellen Systemen

Von CyberDeutsch Redaktion
MiniPlasma: Kritische Windows-Lücke ermöglicht Systemrechte auch auf aktuellen Systemen
Zusammenfassung

Eine kritische Sicherheitslücke im Windows Cloud Files Mini Filter Driver gefährdet derzeit weltweit Millionen von Computern. Der Sicherheitsforscher Chaotic Eclipse hat einen funktionierenden Exploit für die Schwachstelle MiniPlasma veröffentlicht, die es Angreifern ermöglicht, auf vollständig aktualisierten Windows-Systemen höchste Systemrechte (SYSTEM-Privilegien) zu erlangen. Das besonders Besorgniserregende: Diese Lücke sollte bereits im Dezember 2020 durch Microsoft geschlossen worden sein, ist aber offenbar entweder nie richtig gepatcht oder wurde später stillschweigend wieder reaktiviert. Sicherheitsexperten haben bestätigt, dass der Exploit zuverlässig auf aktuellen Windows-11-Systemen funktioniert. Dies bedeutet eine erhebliche Bedrohung für deutsche Unternehmen, Behörden und Privatnutzer, da Angreifer mit SYSTEM-Rechten vollständige Kontrolle über betroffene Computer erlangen können. Besonders kritisch ist die Situation für Behörden und kritische Infrastrukturen, die auf sichere IT-Systeme angewiesen sind. Nutzer und Administratoren sollten umgehend auf offizielle Sicherheitsupdates von Microsoft warten und zusätzliche Schutzmaßnahmen implementieren, um ihre Systeme vor Ausnutzung dieser Schwachstelle zu bewahren.

Die Entdeckung von MiniPlasma offenbart ein fundamentales Problem: Microsoft hat die Schwachstelle offenbar nie vollständig behoben. Ursprünglich 2020 von Google-Project-Zero-Forscher James Forshaw gemeldet, sollte die Lücke im Dezember 2020 durch CVE-2020-17103 geschlossen werden. Doch wie Chaotic Eclipse jetzt nachgewiesen hat, ist die genaue selbe Anfälligkeit in der Windows Cloud Files Mini Filter Driver-Komponente (cldflt.sys) bis heute präsent.

Die Anfälligkeit liegt in der Routine “HsmOsBlockPlaceholderAccess” und ermöglicht eine Privilege-Escalation — also die unrechtmäßige Erhöhung von Benutzerrechten auf Administratorebene. Chaotic Eclipse hat den ursprünglichen PoC von Google ohne weitere Modifikationen in ein funktionsfähiges Exploit-Tool umgewandelt, das zuverlässig eine Command-Shell mit SYSTEM-Privilegien öffnet.

Der Forscher rätselt selbst, ob Microsoft das Problem jemals tatsächlich behoben hat oder ob der Patch möglicherweise still und heimlich wieder zurückgenommen wurde. Die Implementierung funktioniert auf Basis einer Race Condition — eine zeitkritische Schwachstelle, bei der mehrere Prozesse gleichzeitig auf die gleiche Ressource zugreifen.

Sicherheitsforscher Will Dormann bestätigte die kritische Natur des Bugs: MiniPlasma funktioniert zuverlässig auf Windows 11 mit dem Mai-2026-Update und öffnet eine cmd.exe mit SYSTEM-Privilegien. Allerdings berichtete Dormann, dass die Lücke auf dem neuesten Windows-11-Insider-Preview-Canary-Build anscheinend nicht mehr funktioniert — ein Hoffnungsschimmer für künftige Updates.

Zusätzlich zu MiniPlasma offenbarte Microsoft im Dezember 2025 eine weitere Privilege-Escalation-Falle in der gleichen Komponente (CVE-2025-62221, CVSS 7.8), die bereits von unbekannten Angreifern ausgenutzt wird.

Für deutsche Organisationen ist dies eine ernsthafte Bedrohung. Unternehmen sollten dringend ihre Systeme überwachen, alternative Mitigationen implementieren und Microsoft aktiv zur Veröffentlichung eines permanenten Fixes auffordern. Das BSI könnte eine offizielle Warnung ausgeben.

Ähnliche Artikel