Seorang peneliti keamanan siber telah merilis eksploitasi bukti konsep untuk eskalasi hak istimewa Windows zero-day yang dijuluki “MiniPlasma” yang memungkinkan penyerang mendapatkan hak istimewa SISTEM pada sistem Windows yang telah dipatch sepenuhnya.
Eksploitasi tersebut diterbitkan oleh seorang peneliti yang dikenal sebagai Chaotic Eclipse, atau Nightmare Eclipse, yang merilis kode sumber dan kompilasi executable di GitHub setelah mengklaim bahwa Microsoft gagal menambal dengan benar kerentanan tahun 2020 yang dilaporkan sebelumnya.
Menurut peneliti, cacat tersebut berdampak pada ‘cldflt.sys‘Driver Cloud Filter dan nya’HsmOsBlockPlaceholderAccess‘ rutin, yang mana awalnya dilaporkan ke Microsoft oleh peneliti Google Project Zero James Forshaw pada September 2020.
Pada saat itu, kelemahan tersebut ditetapkan sebagai CVE-2020-17103 pengidentifikasi dan dilaporkan diperbaiki pada bulan Desember 2020.
“Setelah diselidiki, ternyata masalah yang sama persis yang dilaporkan ke Microsoft oleh Google project zero sebenarnya masih ada, belum ditambal,” jelas Chaotic Eclipse.
“Saya tidak yakin apakah Microsoft tidak pernah menambal masalah ini atau patch tersebut dibatalkan secara diam-diam pada suatu saat karena alasan yang tidak diketahui. PoC asli dari Google berfungsi tanpa perubahan apa pun.”
BleepingComputer menguji eksploitasi tersebut pada sistem Windows 11 Pro yang telah dipatch sepenuhnya dan menjalankan pembaruan Patch Tuesday Mei 2026 terbaru.
Dalam pengujian kami, kami menggunakan akun pengguna standar, dan setelah menjalankan eksploitasi, ia membuka prompt perintah dengan hak istimewa SISTEM, seperti yang ditunjukkan pada gambar di bawah.
Sumber: BleepingComputer
Will Dormann, analis kerentanan utama di Tharros, juga dikonfirmasi eksploitasi tersebut berfungsi dalam pengujiannya pada versi publik terbaru Windows 11. Namun, dia mengatakan bahwa kelemahan tersebut tidak berfungsi pada versi terbaru Windows 11 Insider Preview Canary build.
Eksploitasi tersebut tampaknya menyalahgunakan cara driver Windows Cloud Filter menangani pembuatan kunci registri melalui CfAbortHydration API yang tidak berdokumen. Laporan asli Forshaw mengatakan bahwa kelemahan tersebut dapat memungkinkan kunci registri sewenang-wenang dibuat di kumpulan pengguna .DEFAULT tanpa pemeriksaan akses yang tepat, yang berpotensi memungkinkan peningkatan hak istimewa.
Sementara Microsoft melaporkan telah memperbaiki bug tersebut sebagai bagian darinya Desember 2020 Microsoft Patch SelasaChaotic Eclipse kini mengklaim kerentanannya masih bisa dieksploitasi.
BleepingComputer menghubungi Microsoft tentang zero-day tambahan ini dan akan memperbarui cerita ini jika kami menerima tanggapan.
Peneliti di balik rangkaian zero-day Windows baru-baru ini
MiniPlasma adalah yang terbaru dari serangkaian pengungkapan zero-day Windows yang diterbitkan oleh peneliti selama beberapa minggu terakhir.
Keterbukaan informasi dimulai pada bulan April dengan Palu Birukelemahan eskalasi hak istimewa lokal Windows yang dilacak sebagai CVE-2026-33825, diikuti oleh kerentanan eskalasi hak istimewa lainnya, Matahari Merahdan alat DoS Windows Defender, Batalkan pertahanan.
Setelah pengungkapannya, ketiga kerentanan tersebut terungkap terlihat dieksploitasi dalam serangan. Menurut penelitiMicrosoft secara diam-diam menambal masalah RedSun tanpa menetapkannya sebagai pengidentifikasi CVE.
Bulan ini, peneliti juga merilis dua eksploitasi tambahan bernama YellowKey dan GreenPlasma.
YellowKey adalah bypass BitLocker yang memengaruhi Windows 11 dan Windows Server 2022/2025 yang memunculkan shell perintah yang memberikan akses ke drive tidak terkunci yang dilindungi oleh konfigurasi BitLocker khusus TPM.
Chaotic Eclipse sebelumnya telah menyatakan bahwa mereka secara publik mengungkapkan zero-day Windows ini sebagai protes atas karunia bug dan proses penanganan kerentanan Microsoft.
“Biasanya, saya akan melalui proses meminta mereka untuk memperbaiki bug tetapi untuk meringkas, saya diberitahu secara pribadi oleh mereka bahwa mereka akan menghancurkan hidup saya dan mereka melakukannya dan saya tidak yakin apakah saya satu-satunya yang mengalami pengalaman mengerikan ini atau hanya sedikit orang yang mengalaminya tetapi saya pikir sebagian besar hanya akan memakannya dan mengurangi kerugian mereka tetapi bagi saya, mereka mengambil semuanya,” duga peneliti.
“Mereka mengepel lantai bersama saya dan melakukan setiap permainan kekanak-kanakan yang mereka bisa. Sangat buruk pada titik tertentu. Saya bertanya-tanya apakah saya berurusan dengan perusahaan besar atau seseorang yang hanya bersenang-senang melihat saya menderita, tetapi tampaknya ini adalah keputusan kolektif.”
Microsoft sebelumnya mengatakan kepada BleepingComputer bahwa mereka mendukung pengungkapan kerentanan terkoordinasi dan berkomitmen untuk menyelidiki masalah keamanan yang dilaporkan dan melindungi pelanggan melalui pembaruan.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
