MiniPlasma sıfır günü tam yamalı Windows 11'de SİSTEM erişimi sağlıyor

Chaotic Eclipse olarak bilinen bir araştırmacı, en son Mayıs 2026 Salı Yaması güncellemesini çalıştıranlar da dahil olmak üzere tam yamalı Windows 11 makinelerinde SİSTEM erişimi sağlayan çalışan bir Windows ayrıcalık yükseltme açığı yayınladı.

MiniPlasma adlı açık, kısa süre önce GitHub adresinde hem kaynak kodu hem de derlenmiş bir çalıştırılabilir dosyayla birlikte yayınlandı. BleepingComputer, yeni bir Windows 11 Pro kurulumunda SİSTEM düzeyinde bir komut istemi açarak standart bir kullanıcı hesabında çalıştığını doğruladı. Tharros'tan güvenlik araştırmacısı Will Dormann sonuçları bağımsız olarak doğruladı.

2020'de düzeltilmesi gereken bir hata

Hata Windows Bulut Filtresi sürücüsü cldflt.sys'de, özellikle de HsmOsBlockPlaceholderAccess adlı bir rutinde yer almaktadır. Hata yeni değil. Google Project Zero araştırmacısı James Forshaw aynı sorunu Eylül 2020'de Microsoft'a bildirmiş ve CVE-2020-17103 olarak atanmış ve o yılın Aralık ayında sözde yamalanmıştı. Chaotic Eclipse, Forshaw'un orijinal kavram kanıtını değiştirmeden çalıştırdı ve olduğu gibi çalıştığını bildirdi. araştırmacı, "Microsoft'un sorunu hiç yamayıp yamamadığından veya yamanın bilinmeyen nedenlerle bir noktada sessizce geri alınıp alınmadığından emin değilim" diye yazdı.

Açık, Cloud Filter sürücüsünün belgelenmemiş bir API aracılığıyla kayıt defteri anahtarı oluşturmayı nasıl ele aldığını kötüye kullanarak standart bir kullanıcının .DEFAULT kullanıcı kovanında bunları durdurması gereken erişim denetimleri olmadan rastgele kayıt defteri anahtarları oluşturmasına olanak tanır. Bir yarış koşulu içerir, bu nedenle başarı oranı değişir, ancak BleepingComputer'ın onaylanan sonuçlar gerçek donanım üzerinde yeterince güvenilir olduğunu gösteriyor. Bir istisna: en son Windows 11 Insider Preview Canary yapısında çalışmaz.

Kasıtlı bir kampanyanın parçası

MiniPlasma, Chaotic Eclipse'den bir başka Windows sıfır gün ifşasıdır geçtiğimiz altı hafta içinde. Araştırmacı Nisan ayında, Microsoft'un 14 Nisan Salı Yaması'nda CVE-2026-33825 olarak yamaladığı bir Windows Defender yerel ayrıcalık yükseltme güvenlik açığı olan BlueHammer ile başladı, 3 Nisan'da kamuya açıklandıktan sadece birkaç gün sonra. Bunu, Microsoft'un bir CVE atamadan sessizce düzelttiği bildirilen Defender'daki ikinci bir LPE olan RedSun izledi. Ardından, güvenlik tanımı güncellemelerini engelleyen bir Defender hizmet reddi aracı olan UnDefend geldi. Ardından WinRE kurtarma ortamı aracılığıyla şifrelenmiş sürücülerin kilidini açan bir BitLocker baypası olan YellowKey. Ardından GreenPlasma, araştırmacının istismar kodunun bir kısmını sakladığı bir CTFMON çerçevesi ayrıcalık yükseltmesi. Şimdi de MiniPlasma.

BlueHammer, RedSun ve UnDefend adlı üç orijinal açık, kamuoyuna açıklandıktan kısa bir süre sonra Huntress araştırmacıları tarafından gerçek saldırılarda kullanıldığı doğrulandı. Araştırmacı, bu açıkların neden yayınlandığını açıkça belirtmiştir: Microsoft'un hata ödül raporlarını ve yama doğrulamasını ele alma şeklinden duyulan memnuniyetsizlik. Microsoft MiniPlasma hakkında özel bir yorum yapmadı. Şirket daha önce BleepingComputer'a, yaygın olarak benimsenen bir endüstri uygulaması olarak "koordineli güvenlik açığı ifşasını desteklediğini" söylemişti.