Анонимный исследователь безопасности, известный под псевдонимом Nightmare Eclipse (Chaotic Eclipse), за последние два месяца без предварительного уведомления Microsoft раскрыл шесть уязвимостей Windows, опубликовав для них готовые PoC-эксплойты. Наиболее серьёзной из них стала MiniPlasma — уязвимость нулевого дня, позволяющая локальному пользователю повысить привилегии до уровня SYSTEM.
По имеющимся данным, MiniPlasma использует старую уязвимость CVE-2020-17103, которая считалась устранённой ещё в 2020 году. Однако опубликованный эксплойт показывает, что атакам подвержены даже полностью обновлённые системы Windows 11, а также Windows Server 2022 и Windows Server 2025.
Как и оригинальная CVE-2020-17103, новая атака связана с драйвером Cloud Filter и внутренней процедурой HsmOsBlockPlaceholderAccess.
По информации специалистов Huntress Labs, злоумышленники начали использовать первые уязвимости из опубликованной исследователем серии ещё 10 апреля. При этом Microsoft планирует выпустить исправление для MiniPlasma только 9 июня, оставляя потенциальное окно для эксплуатации.
Кроме того, Kaspersky Endpoint Security, по заявлению компании, способен обнаруживать и блокировать попытки эксплуатации опубликованного PoC.
Администраторам и специалистам по информационной безопасности рекомендуется усилить мониторинг событий Windows, уделяя особое внимание изменениям веток реестра CloudFiles, появлению нестандартных экземпляров wermgr.exe и другим индикаторам компрометации, связанным с MiniPlasma.
Источник
По имеющимся данным, MiniPlasma использует старую уязвимость CVE-2020-17103, которая считалась устранённой ещё в 2020 году. Однако опубликованный эксплойт показывает, что атакам подвержены даже полностью обновлённые системы Windows 11, а также Windows Server 2022 и Windows Server 2025.
Как и оригинальная CVE-2020-17103, новая атака связана с драйвером Cloud Filter и внутренней процедурой HsmOsBlockPlaceholderAccess.
По информации специалистов Huntress Labs, злоумышленники начали использовать первые уязвимости из опубликованной исследователем серии ещё 10 апреля. При этом Microsoft планирует выпустить исправление для MiniPlasma только 9 июня, оставляя потенциальное окно для эксплуатации.
Как обнаружить атаку
Специалисты "Лаборатории Касперского" сообщили, что их сервис Managed Detection and Response способен выявлять попытки эксплуатации MiniPlasma по нескольким характерным признакам:- создание символических ссылок (Symbolic Links) в ветке реестра HKU\.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps;
- появление процесса wermgr.exe за пределами стандартных системных каталогов;
- запуск системных исполняемых файлов или их имитаций из нестандартных директорий;
- использование библиотеки .NET NtApiDotNet, разработанной исследователем Джеймсом Форшоу для работы с Native API Windows.
Кроме того, Kaspersky Endpoint Security, по заявлению компании, способен обнаруживать и блокировать попытки эксплуатации опубликованного PoC.
Почему это важно
MiniPlasma представляет особую опасность из-за сочетания нескольких факторов: эксплойт опубликован в открытом доступе, затрагивает актуальные версии Windows и позволяет получить максимальные системные привилегии. При этом исправление от Microsoft пока недоступно, а исследователи уже фиксируют активное использование связанных уязвимостей в реальных атаках.Администраторам и специалистам по информационной безопасности рекомендуется усилить мониторинг событий Windows, уделяя особое внимание изменениям веток реестра CloudFiles, появлению нестандартных экземпляров wermgr.exe и другим индикаторам компрометации, связанным с MiniPlasma.
Источник
