MiniPlasma: Windows-Lücke aus 2020 funktioniert noch immer
Ein Sicherheitsforscher hat einen funktionierenden Exploit für eine Windows-Schwachstelle veröffentlicht, die Microsoft bereits vor sechs Jahren gepatcht haben soll. Der Angriff verschafft einem normalen Benutzer vollständige SYSTEM-Rechte auf vollständig gepatchten Windows-11-Systemen. Ein Fix existiert bislang nicht.
Was ist passiert?
Der Sicherheitsforscher „Chaotic Eclipse“ hat am 18. Mai 2026 einen Proof-of-Concept-Exploit namens „MiniPlasma“ veröffentlicht. Die Grundlage ist keine neue Entdeckung, sondern eine alte Bekannte: CVE-2020-17103, eine Schwachstelle im Windows Cloud Files Mini Filter Driver (cldflt.sys), die Google-Project-Zero-Forscher James Forshaw bereits im September 2020 an Microsoft gemeldet hatte. Microsoft veröffentlichte im Dezember 2020 einen Patch und schloss den Fall.
Das Problem: Der Patch scheint nie wirklich gewirkt zu haben, oder er wurde irgendwann still wieder rückgängig gemacht. Chaotic Eclipse berichtet, den originalen Google-PoC ohne jegliche Anpassungen erfolgreich ausgeführt zu haben. Für die eigene Veröffentlichung wurde der Code lediglich so erweitert, dass er eine vollständige SYSTEM-Shell öffnet.
MiniPlasma ist bereits der sechste Exploit, den Chaotic Eclipse innerhalb von sechs Wochen veröffentlicht hat. Drei frühere Veröffentlichungen aus dieser Serie wurden laut ThreatLocker nach ihrer Veröffentlichung aktiv in echten Angriffen eingesetzt.
Wie funktioniert der Angriff?
Die Schwachstelle liegt in der Routine HsmOsBlockPlaceholderAccess des Cloud-Filter-Treibers. Über eine nicht ausreichend abgesicherte API können Registry-Schlüssel im .DEFAULT-Benutzerprofil ohne die nötigen Zugriffsrechte angelegt werden. Das ermöglicht eine Privilegienerweiterung auf SYSTEM-Ebene.
Technisch handelt es sich um eine Race Condition, die Erfolgsrate variiert daher je nach Systemkonfiguration. Der Exploit läuft jedoch als normaler Standardbenutzer, benötigt keinen physischen Zugang und erfordert keine vorherigen Berechtigungen. BleepingComputer bestätigte die erfolgreiche Ausführung auf einem vollständig gepatchten Windows-11-Pro-System mit den aktuellen Mai-2026-Updates. Will Dormann, Principal Vulnerability Analyst bei Tharros, bestätigte das Ergebnis unabhängig davon ebenfalls.
Hinweis: Auf dem aktuellen Windows-11-Insider-Preview-Canary-Build scheint der Exploit nicht zu funktionieren, was darauf hindeutet, dass Microsoft die Lücke intern bereits adressiert, aber noch keinen Produktions-Patch veröffentlicht hat.
Wer ist betroffen?
Wahrscheinlich alle Windows-Versionen, da cldflt.sys ein zentraler Kernel-Treiber ist, der über mehrere Windows-Generationen hinweg existiert. Konkret bestätigt ist die Ausnutzbarkeit auf Windows 11 mit den aktuellen Mai-2026-Patches.
Einen offiziellen Patch gibt es derzeit nicht. Microsoft hat auf Anfrage von SecurityWeek lediglich mitgeteilt, man untersuche den Bericht und werde gegebenenfalls Massnahmen ergreifen. Der nächste reguläre Patch Tuesday ist der 10. Juni 2026.
- Registry-Schlüssel überwachen: ThreatLocker empfiehlt, über das EDR folgende Schlüsselpfade auf unerwartete Schreibzugriffe zu monitoren: \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps* \Registry\User\.DEFAULT\Volatile Environment*
- Privilegierte Aktionen von Standardbenutzerkonten in Sicherheitslösungen (SIEM, EDR) gezielt auf SYSTEM-Eskalationen überprüfen
- Windows-Updates laufend einspielen und den Patch-Tuesday am 10. Juni 2026 im Blick behalten
- Systeme mit erweiterten Endpoint-Schutzlösungen absichern, die verhaltensbasierte Erkennung von Privilege-Escalation-Techniken bieten
