Im Zentrum steht CVE-2020-17103, eine mit dem CVSS-Wert 7.0 bewertete Schwachstelle zur Rechteausweitung im Cloud-Filter-Treiber von Windows. Googles Project Zero meldete die Schwäche 2020 an Microsoft, das die Korrekturen mit den Patch-Tuesday-Updates im Dezember 2020 verteilte.
Dem Bericht von Project Zero zufolge erlaubt der verwundbare Treiber die Manipulation von Registry-Schlüsseln über eine nicht dokumentierte Programmierschnittstelle. Ein Angreifer könne über eine nicht authentifizierte Netzwerksitzung einen Schlüssel im DEFAULT-Benutzerhive anlegen, ohne dass Zugriffsprüfungen greifen. Daraus folge eine Rechteausweitung, die bis zur Ausführung von Systemcode reichen könne.
Der unter den Namen Chaotic Eclipse und Nightmare Eclipse bekannte Forscher hat nun MiniPlasma veröffentlicht — einen Exploit, der die Lücke ausnutzt, um eine Systemshell zu starten. Nach seinen Angaben funktioniert der ursprüngliche Proof-of-Concept-Code von Project Zero ohne Änderungen. Entweder sei die Schwachstelle nie geschlossen oder die Patches seien zurückgenommen worden.
„Nach genauerer Untersuchung stellt sich heraus, dass genau dasselbe Problem, das Google Project Zero an Microsoft gemeldet hat, noch immer vorhanden und ungepatcht ist“, erklärt Chaotic Eclipse.
Es ist nicht die erste derartige Veröffentlichung: Der Forscher hat kürzlich Exploits für mehrere ungepatchte Schwachstellen in Microsoft-Produkten herausgegeben, darunter BlueHammer, YellowKey und GreenPlasma. Als Grund nennt er seine Unzufriedenheit damit, wie der Konzern mit Schwachstellenmeldungen umgeht.
Will Dormann, leitender Schwachstellenanalyst bei Tharros Labs, bestätigte die Wirksamkeit: MiniPlasma funktioniere auf Windows-11-Systemen mit den im Mai 2026 installierten Sicherheitsupdates. „Ich weise darauf hin, dass es auf der neuesten Insider-Preview-Version Canary von Windows 11 offenbar nicht funktioniert“, ergänzt Dormann.
SecurityWeek hat Microsoft um eine Stellungnahme gebeten und will den Artikel aktualisieren, falls das Unternehmen reagiert.
