Neues Windows-Fehler „MiniPlasma" ermöglicht Angreifern Systemzugriff – Proof of Concept veröffentlicht

Mai 2026 auf GitHub und behauptete, Microsoft habe entweder den Patch nicht ausgebracht oder die Korrektur fr eine Schwachstelle, die ursprnglich vor sechs Jahren gemeldet wurde, stillschweigend zurckgenommen. Die Lcke betrifft die Routine HsmOsBlockPlaceholderAccess Cloud-Filter-Treiber cldflt.sys.

Sie wurde erstmals September 2020 vom Google Project Zero-Forscher James Forshaw entdeckt und Microsoft gemeldet. Microsoft wies der Schwachstelle die CVE-ID CVE-2020-17103 zu und berichtete, sie habe diese Dezember 2020 Rahmen der Patch-Tuesday-Updates behoben.

Nightmare-Eclipse stellte jedoch fest, dass das im ursprnglichen Bericht ausnutzbar ist, ohne dass nderungen am ursprnglichen Proof-of-Concept-Code vorgenommen werden mssen.

Sicherheitslage und Risiko

Der Forscher veröffentlichte MiniPlasma einen Tag nach dem Patch Tuesday Mai 2026, um die Offenlegung zeitlich auf den Patch-Zyklus abzustimmen und Organisationen ohne eine offizielle Behebung bis mindestens zum nächsten geplanten Update auszusetzen.

Die Schwachstelle hat in der Sicherheitsgemeinschaft erhebliche Aufmerksamkeit erlangt; das GitHub-Repository sammelte innerhalb weniger Tage nach der Veröffentlichung über 390 Sterne.

MiniPlasma Zero-Day PoC veröffentlicht Die Schwachstelle ermöglicht es nicht privilegierten Benutzern, beliebige Registrierungsschlüssel im DEFAULT-Benutzerstamm ohne angemessene Zugriffskontrollen zu erstellen.

Laut Google Project Zero liegt der

Laut Google Project Zero liegt der Fehler in der Funktionsweise der HsmOsBlockPlaceholderAccess-Funktion bei der Erstellung üsseln, da das OBJ_FORCE_ACCESS_CHECK-Flag nicht angegeben wird.

Dies ermöglicht Angreifern, normale Zugriffseinschränkungen zu umgehen und Schlüssel in den DEFAULT-Benutzerstamm zu schreiben, obwohl Standardbenutzer in der Regel über solche Berechtigungen nicht verfügen.

Das Exploit-Werkzeug nutzt dieses Verhalten aus, indem es eine Race Condition ausnutzt, die zwischen Benutzer- und anonymen Tokens wechselt, um die Kernel-Funktion RtlOpenCurrentUser zu manipulieren.

Einordnung fuer Autofahrer

Wenn die Race Condition erfolgreich ist, öffnet das System den STANDARD-Registrierungsbaum zum Schreiben, während die Thread-Identitätsübernahme rückgängig gemacht wird, was die Erstellung nicht autorisierter Schlüssel ermöglicht.

Der Proof-of-Concept, der auf GitHub veröffentlicht wurde, zeigt eine zuverlässige Ausnutzung auf Mehrkernsystemen durch das Starten einer SYSTEM-Shell nach erfolgreichem Gewinnen der Race Condition.

Die Schwachstelle betrifft alle Windows-Versionen und stellt eine erhebliche Bedrohung für Unternehmensumgebungen, Arbeitsstationen und cloud-synchronisierte Systeme dar. Tests bestätigten, dass die Ausführung des Exploits ein Befehlsfenster mit SYSTEM-Rechten öffnet und Angreifern vollständige Kontrolle über die kompromittierte Maschine gewährt.

Technischer Hintergrund

Die Cloud-Filter-Treiberkomponente ist ein wesentlicher Bestandteil der Windows-Cloud-Speichersynchronisationsservices wie OneDrive, was bedeutet, dass der anfällige Code auf einer breiten Palette ührt wird.

Organisationen sollten auf die Sicherheitsreaktion darauf vorbereiten, Patches so schnell wie möglich nach deren Verfügbarkeit einzusetzen, da die öffentliche Verfügbarkeit funktionierender Exploit-Code das Ausnutzungsrisiko erheblich steigert. Sie uns auf