Un nouveau zero-day Windows baptisé « MiniPlasma » vient d’être publié publiquement avec un exploit Proof of Concept (PoC). La vulnérabilité permettrait à un utilisateur disposant déjà d’un accès local limité d’obtenir les privilèges SYSTEM, soit le niveau d’accès le plus élevé sous Windows.
Cette nouvelle faille a été révélée par le chercheur « Chaotic Eclipse », déjà à l’origine des récents PoC BlueHammer, RedSun, UnDefend et YellowKey visant différentes protections de Windows et BitLocker.
MiniPlasma exploite le Planificateur de tâches Windows
Selon les premières analyses, MiniPlasma cible le service Windows Task Scheduler (Planificateur de tâches).
Le PoC exploiterait une mauvaise gestion des liens symboliques et des permissions de certains fichiers utilisés pendant l’exécution de tâches système. L’attaquant pourrait alors détourner ce mécanisme pour exécuter du code avec les privilèges SYSTEM.
Concrètement, un utilisateur standard pourrait :
- créer certains liens symboliques
- manipuler des chemins de fichiers spécifiques
- déclencher une tâche système
- obtenir une élévation de privilèges complète
Le PoC publié permettrait d’obtenir un shell SYSTEM en quelques secondes sur certaines versions de Windows.
Une faille locale mais très dangereuse
MiniPlasma ne permet pas une compromission à distance directe via Internet. L’attaquant doit déjà disposer :
- d’un accès local
- ou d’un malware exécuté avec des droits utilisateur classiques
Mais ce type de faille reste extrêmement critique dans les chaînes d’attaque modernes.
En pratique, les cybercriminels utilisent souvent ce genre d’élévation de privilèges après :
- un phishing
- une exécution de malware
- une faille navigateur
- une compromission RDP
- une infection initiale limitée
L’objectif est ensuite d’obtenir les privilèges SYSTEM afin de :
- désactiver Microsoft Defender
- contourner certaines protections
- installer des rootkits
- accéder à davantage de données
- persister dans le système
Une ancienne faille Google Project Zero toujours exploitable ?
Selon le chercheur Chaotic Eclipse, MiniPlasma ne serait pas une vulnérabilité entièrement nouvelle. Le problème toucherait en réalité le pilote système cldflt.sys, utilisé par Windows pour les fonctionnalités Cloud Filter liées notamment à OneDrive et aux fichiers à la demande.
La faille se situerait plus précisément dans la routine HsmOsBlockPlaceholderAccess.
Le plus surprenant est que cette vulnérabilité avait déjà été signalée à Microsoft en septembre 2020 par le chercheur James Forshaw de Google Project Zero. À l’époque, elle avait reçu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif déployé en décembre 2020.
Mais selon Chaotic Eclipse, le problème serait toujours exploitable aujourd’hui.
Le chercheur affirme que :
- soit le correctif initial n’a jamais complètement résolu le problème
- soit une modification ultérieure de Windows aurait réintroduit silencieusement la faille
Encore plus inquiétant, il explique que le PoC original publié par Google fonctionnerait toujours sans modification majeure.
BleepingComputer a d’ailleurs testé l’exploit sur un système Windows 11 Pro entièrement à jour avec les mises à jour Patch Tuesday de mai 2026.
Dans leur test :
- un simple compte utilisateur standard a été utilisé
- l’exploit a été exécuté localement
- une invite de commande avec les privilèges SYSTEM a été obtenue immédiatement
Cela montre que la vulnérabilité reste exploitable même sur des systèmes Windows 11 récents et entièrement patchés.
Un nouveau PoC publié avant correctif Microsoft
Comme pour les précédentes vulnérabilités publiées par Chaotic Eclipse, Microsoft n’aurait pas encore publié de correctif officiel au moment de la publication du PoC.
Le chercheur accuse une nouvelle fois Microsoft d’avoir ignoré ou retardé le traitement de certains rapports de sécurité.
Ces derniers mois, plusieurs PoC similaires ont été publiés publiquement avant correction :
- BlueHammer
- RedSun
- UnDefend
- YellowKey
- GreenPlasma
Certaines de ces vulnérabilités ont finalement été corrigées discrètement dans les Patch Tuesday suivants après médiatisation.
Pour aller plus loins sur le sujet :
Les protections Windows modernes ne suffisent pas toujours
Même avec :
- Secure Boot
- TPM
- VBS
- HVCI
- Microsoft Defender
Windows reste vulnérable aux élévations de privilèges locales lorsque certains composants historiques du système sont mal protégés.
Le problème est que Windows conserve encore énormément de mécanismes hérités pour :
- la compatibilité logicielle
- les services système
- les tâches planifiées
- les composants Win32 historiques
Le Planificateur de tâches Windows est notamment une cible régulière des chercheurs sécurité car il fonctionne avec des privilèges très élevés et interagit avec de nombreux composants système sensibles.
Microsoft pourrait corriger discrètement la faille
Pour le moment, Microsoft n’a pas communiqué officiellement sur MiniPlasma.
Mais au vu des précédents cas récents, il est probable que :
- un correctif soit préparé
- une CVE soit attribuée plus tard
- la correction arrive dans un futur Patch Tuesday
Les administrateurs système et utilisateurs sensibles doivent donc :
- surveiller les prochaines mises à jour Windows
- éviter l’exécution de programmes non fiables
- limiter les comptes administrateurs locaux
- maintenir Microsoft Defender actif
Sources :
L’article MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié est apparu en premier sur malekal.com.
0 Commentaires