Kolejne uderzenie w Windowsa. Exploit mógł wrócić po latach

Exploit PoC o nazwie MiniPlasma zwrócił uwagę badaczy bezpieczeństwa. Jest to podatność Windowsa, która mogła nie zostać w pełni usunięta mimo wcześniejszej poprawki Microsoftu. Problem dotyczy lokalnych uprawnień w sterowniku Windows Cloud Files Mini Filter Driver, znanym jako cldflt.sys, który jest wykorzystywany m.in. przez funkcje synchronizacji plików w chmurze, takie jak OneDrive Files On-Demand.

Sterownik cldflt.sys działa na poziomie jądra systemu i pomaga obsługiwać pliki zastępcze, czyli takie, które są widoczne lokalnie w Eksploratorze Windows, ale ich pełna zawartość może znajdować się w chmurze i zostać pobrana dopiero po otwarciu. W praktyce jest to element, którego przeciętny użytkownik raczej nie zauważa, ale który ma duże znaczenie dla wygody pracy z usługami synchronizacji danych.

Problem powraca

Podatność jest powiązana z wcześniejszym zgłoszeniem Google Project Zero, opisanym jako CVE-2020-17103, które Microsoft miał załatać kilka lat temu, prawdopodobnie w ramach aktualizacji KB4592438 dla Windowsa 10. Autor narzędzia, znany jako Nightmare-Eclipse, twierdzi jednak, że po ponownym przeanalizowaniu starszych badań zauważył, iż ten sam problem może nadal występować w aktualnych wersjach Windowsa.

Exploit PoC o nazwie MiniPlasma zwrócił uwagę badaczy bezpieczeństwa. Jest to podatność Windowsa, która mogła nie zostać w pełni usunięta mimo wcześniejszej poprawki Microsoftu.

Najbardziej niepokojące jest to, że exploit ma działać także na systemach po ostatnich poprawkach, w tym po aktualizacji Patch Tuesday oznaczonej jako KB5089549 dla Windowsa 11. Autor projektu zauważył, iż pierwotny kod PoC przygotowany przez Google miał nadal działać bez zmian, choć samo zgłoszenie w bazie Google jest oznaczone jako naprawione. Są dwie możliwości: albo pierwotna poprawka nie rozwiązała całego problemu, albo późniejsze zmiany w systemie ponownie otworzyły podobną ścieżkę ataku.

Jak działa exploit

MiniPlasma celuje w procedurę HsmOsBlockPlaceholderAccess w sterowniku cldflt.sys i pozwala tworzyć dowolne klucze rejestru w gałęzi .DEFAULT użytkownika, co finalnie może prowadzić do uzyskania uprawnień SYSTEM. W porównaniu z typowymi błędami w aplikacjach użytkowych jest to poważniejszy przypadek, ponieważ dotyczy komponentu jądra systemu i może umożliwić atakującemu przejęcie znacznie większej kontroli nad komputerem.

Praktyczne znaczenie jest takie, że osoba mająca już ograniczony dostęp do maszyny mogłaby potencjalnie podnieść swoje uprawnienia i wykonać działania, które normalnie byłyby zarezerwowane dla systemu lub administratora.

Lokalna eskalacja uprawnień rzadko jest pierwszym etapem ataku, ale bywa bardzo istotnym elementem całego łańcucha, szczególnie po wykorzystaniu innej luki, błędu konfiguracji albo dostępu do konta o niskich uprawnieniach. Dla użytkowników domowych ryzyko jest mniejsze niż w firmach, aczkolwiek administratorzy, zespoły bezpieczeństwa oraz osoby zarządzające flotą komputerów z Windowsem powinny potraktować sprawę poważnie, zwłaszcza że exploit jest publicznie dostępny.

Microsoft pracuje nad poprawką

Warto też zaznaczyć, że badacz Will Dormann miał potwierdzić skuteczną eskalację uprawnień przy użyciu PoC, ale jednocześnie wskazał, że exploit nie zadziałał na najnowszym Windows 11 Insider Preview Canary. To może sugerować, iż Microsoft testuje już poprawkę, choć na razie nie wiadomo, kiedy trafi ona do stabilnych wydań systemu i czy pojawi się w ramach najbliższego Patch Tuesday.