Thought Leadership
Ein neuer Zero-Day-Exploit namens MiniPlasma hebelt die Rechteverwaltung von Windows 11 aus und gewährt Angreifern unbefugte System-Privilegien.
Ein unabhängiger Sicherheitsforscher hat einen funktionierenden Schadcode für eine kritische Sicherheitslücke in aktuellen Windows-Betriebssystemen veröffentlicht. Der unter dem Namen MiniPlasma bekannte Zero-Day-Exploit ermöglicht es lokalen Angreifern, ihre Zugriffsrechte auf die höchste Berechtigungsstufe namens SYSTEM auszuweiten. Da der Programmcode sowie eine ausführbare Datei frei auf der Plattform GitHub zur Verfügung gestellt wurden, steht die IT-Sicherheitswelt vor einer neuen Herausforderung. Betroffen sind nachweislich vollständig aktualisierte Systeme, die über die neuesten Sicherheitsupdates von Microsoft verfügen.
Cloud-Filter-Treiber umgeht Rechteverwaltung
Die Schwachstelle betrifft den Cloud-Filter-Treiber mit dem Dateinamen cldflt.sys, der standardmäßig in modernen Windows-Installationen für die Verwaltung von Cloud-Speicherdiensten integriert ist. Genauer gesagt liegt der Fehler in der Routine HsmOsBlockPlaceholderAccess. Der Exploit nutzt die Art und Weise aus, wie dieser Treiber die Erstellung von Registrierungsschlüsseln über eine undokumentierte Programmierschnittstelle namens CfAbortHydration handhabt.
Durch die fehlerhafte Verarbeitung können beliebige Registrierungsschlüssel in der Struktur des .DEFAULT-Benutzers angelegt werden, ohne dass das System eine ordnungsgemäße Überprüfung der Zugriffsrechte durchführt. Da bestimmte Systemprozesse diese Struktur beim Hochfahren oder bei administrativen Aufgaben auslesen, können Angreifer dort manipulierten Code hinterlegen. Sobald das Betriebssystem diesen ausführt, geschieht dies mit den weitreichenden Privilegien des Kontos SYSTEM, wodurch die lokale Rechteverwaltung vollständig umgangen wird.
Verbindung zu Sicherheitslücke von 2020
Ein ungewöhnlicher Aspekt von MiniPlasma ist die historische Verbindung zu einer bereits dokumentierten Schwachstelle. Der Fehler wurde ursprünglich im September 2020 von James Forshaw, einem Analysten des Sicherheitslücken-Forschungsteams Google Project Zero, an Microsoft gemeldet. Damals wurde der Vorfall unter der Kennung CVE-2020-17103 registriert und im Rahmen des darauffolgenden Patchdays im Dezember 2020 offiziell behoben.
Der Entdecker von MiniPlasma, der unter dem Pseudonym Chaotic Eclipse oder Nightmare Eclipse agiert, stellte jedoch fest, dass exakt dasselbe Problem in aktuellen Windows-Versionen weiterhin ausnutzbar ist. Es ist unklar, ob Microsoft die Schwachstelle im Jahr 2020 unvollständig repariert hat oder ob der entsprechende Patch im Zuge späterer Systemaktualisierungen unbeabsichtigt rückgängig gemacht wurde. Der Forscher betonte, dass der ursprüngliche, von Google entwickelte Demonstrationscode ohne jegliche Modifikationen auf modernen Systemen des Jahres 2026 funktionierte.
Nahm Microsoft unbemerkt Änderungen vor?
Das Fachmedium BleepingComputer unterzog den veröffentlichten Exploit einem praktischen Test auf einem voll funktionsfähigen System mit Windows 11 Pro. Das Testgerät war mit den aktuellen Updates des Patch Days vom Mai 2026 ausgestattet. Für das Experiment wurde ein Standard-Benutzerkonto ohne administrative Rechte verwendet. Nach der Ausführung der MiniPlasma-Datei öffnete sich unverzüglich eine Eingabeaufforderung, die über die maximalen SYSTEM-Rechte verfügte.
Zusätzlich bestätigte Will Dormann, ein erfahrener Analyst für Sicherheitsrisiken bei Tharros, die Funktionalität des Angriffs auf der aktuellen öffentlichen Version von Windows 11. Seine Untersuchungen zeigten jedoch auch eine Einschränkung: In den neuesten Testversionen des Windows 11 Insider Preview Canary Builds schlug der Exploit fehl. Dies könnte darauf hindeuten, dass Microsoft in neueren Entwicklungszweigen unbemerkt Änderungen am Cloud-Filter-Treiber vorgenommen hat, die den Angriff blockieren.
Serie von ungeschützten Windows-Schachstellen
Die Veröffentlichung von MiniPlasma ist kein isolierter Vorfall, sondern reiht sich in eine koordinierte Serie von Zero-Day-Enthüllungen ein, die Chaotic Eclipse in den vergangenen Wochen vorgenommen hat. Die Welle begann im April mit einem Fehler zur lokalen Rechteausweitung namens BlueHammer, der als CVE-2026-33825 registriert ist. Kurz darauf folgten eine weitere Schwachstelle namens RedSun sowie ein Werkzeug namens UnDefend, das gezielt Denial-of-Service-Zustände im Windows Defender auslösen kann.
Sicherheitsbehörden beobachteten, dass alle drei im April veröffentlichten Lücken kurz nach ihrer Bekanntgabe aktiv bei Cyberangriffen ausgenutzt wurden. Laut Angaben des Forschers hat Microsoft die RedSun-Lücke mittlerweile ohne Vergabe einer offiziellen CVE-Nummer im Stillen geschlossen. Im laufenden Monat Mai folgten dann die Exploits YellowKey, der eine Umgehung des BitLocker-Schutzes bei TPM-Konfigurationen ermöglicht, sowie GreenPlasma, bevor nun MiniPlasma publiziert wurde.
Entwickler sei bedroht worden
Als Motiv für die unkoordinierte Veröffentlichung der kritischen Sicherheitslücken nennt Chaotic Eclipse anhaltende Konflikte mit dem Softwarehersteller. Der Forscher wirft Microsoft erhebliche Mängel beim Betrieb des hauseigenen Bug-Bounty-Programms sowie beim generellen Umgang mit Schwachstellenmeldungen vor. Anstatt den regulären Meldeweg zu nutzen, wählte der Programmierer den Weg der vollständigen Offenlegung, um öffentlichen Druck aufzubauen.
Der Entwickler behauptet, nach Einreichungen in der Vergangenheit von Vertretern des Konzerns persönlich bedroht worden zu sein. Es seien rechtliche und persönliche Konsequenzen angedroht worden, die seine Existenz zerstört hätten. Microsoft äußerte sich zu den spezifischen Vorwürfen des Forschers nicht im Detail, betonte jedoch gegenüber Medienvertretern, dass das Unternehmen das Prinzip der koordinierten Offenlegung von Schwachstellen unterstütze. Der Konzern sei bestrebt, gemeldete Sicherheitsprobleme gründlich zu untersuchen und Kunden durch regelmäßige Updates zu schützen. Eine Untersuchung von MiniPlasma wurde eingeleitet.
