📰 Source : BleepingComputer — Date de publication : 17 mai 2026
Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026).
🔍 Détails techniques
La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué.
✅ Confirmation indépendante
- BleepingComputer a testé l’exploit sur un système Windows 11 Pro avec les dernières mises à jour : un shell CMD avec privilèges SYSTEM a été obtenu depuis un compte utilisateur standard.
- Will Dormann, analyste principal chez Tharros, a également confirmé le fonctionnement de l’exploit sur la dernière version publique de Windows 11.
- L’exploit ne fonctionne pas sur la dernière build Windows 11 Insider Preview Canary.
📋 Série de divulgations par le même chercheur
MiniPlasma s’inscrit dans une série de divulgations publiques récentes :
- BlueHammer (CVE-2026-33825) : LPE Windows, divulgué en avril 2026
- RedSun : LPE Windows, patché silencieusement par Microsoft sans CVE
- UnDefend : outil DoS contre Windows Defender
- YellowKey : contournement BitLocker sur Windows 11 et Windows Server 2022/2025 (configurations TPM-only)
- GreenPlasma : exploit supplémentaire (détails non précisés)
BlueHammer, RedSun et UnDefend ont été observés exploités dans des attaques réelles après leur divulgation publique.
⚠️ Contexte de divulgation
Le chercheur affirme divulguer publiquement ces vulnérabilités en protestation contre les pratiques de Microsoft en matière de bug bounty et de gestion des vulnérabilités, alléguant avoir subi des représailles personnelles de la part de l’entreprise. Microsoft n’avait pas encore répondu à BleepingComputer au moment de la publication.
📌 Cet article est un rapport de vulnérabilité combinant une annonce de divulgation publique et une validation technique indépendante, destiné à alerter la communauté sur une menace active affectant l’ensemble du parc Windows 11 patché.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Chaotic Eclipse (unknown) —
TTP
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
- T1112 — Modify Registry (Defense Evasion)
- T1588.005 — Obtain Capabilities: Exploits (Resource Development)
IOC
Malware / Outils
- MiniPlasma (tool)
- BlueHammer (tool)
- RedSun (tool)
- UnDefend (tool)
- YellowKey (tool)
- GreenPlasma (tool)
🟢 Indice de vérification factuelle : 65/100 (haute)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4723 chars — texte complet (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Chaotic Eclipse (5pts)
- ⬜ 0/2 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/