Νέο Windows zero-day «MiniPlasma» δίνει πρόσβαση SYSTEM, κυκλοφόρησε PoC

Ο ερευνητής ασφαλείας γνωστός ως Chaotic Eclipse (ή Nightmare Eclipse) δημοσίευσε νέο κώδικα εκμετάλλευσης — PoC (Proof of Concept, δηλαδή απόδειξη εκτελεσιμότητας) — για μια ευπάθεια τοπικής κλιμάκωσης δικαιωμάτων στα Windows που ονομάζει MiniPlasma. Η ευπάθεια επιτρέπει σε έναν χρήστη τυπικού λογαριασμού να αποκτήσει πλήρη δικαιώματα NT AUTHORITY\SYSTEM — το υψηλότερο επίπεδο πρόσβασης στο λειτουργικό.

Επαληθευμένο σε πλήρως ενημερωμένα Windows 11

Το BleepingComputer δοκίμασε το exploit σε πλήρως ενημερωμένο σύστημα Windows 11 Pro με τις τελευταίες ενημερώσεις Patch Tuesday Μαΐου 2026 και, χρησιμοποιώντας τυπικό λογαριασμό χρήστη, επιβεβαίωσε ότι το exploit άνοιξε command prompt με δικαιώματα SYSTEM. Ο Will Dormann, κύριος αναλυτής ευπαθειών στην εταιρεία Tharros, επίσης επιβεβαίωσε ότι το exploit λειτουργεί στην τελευταία δημόσια έκδοση των Windows 11.

Ιδιαίτερη σημασία έχει το ιστορικό της συγκεκριμένης ευπάθειας: ενώ η Microsoft αναφέρει ότι είχε διορθώσει το σφάλμα στο πλαίσιο του Patch Tuesday Δεκεμβρίου 2020, ο Chaotic Eclipse υποστηρίζει τώρα ότι η ευπάθεια εξακολουθεί να μπορεί να αξιοποιηθεί. Σύμφωνα με τον ερευνητή, το ακριβώς ίδιο ζήτημα που είχε αναφερθεί στη Microsoft από την Google Project Zero εξακολουθεί να υπάρχει χωρίς επιδιόρθωση, και ο αρχικός κώδικας PoC της Google δούλεψε χωρίς καμία αλλαγή.

Το BleepingComputer επικοινώνησε με τη Microsoft σχετικά με αυτό το νέο zero-day και θα ενημερώσει όταν λάβει απάντηση.

Μέρος μιας σειράς δημοσιοποιήσεων σε ένδειξη διαμαρτυρίας

Το MiniPlasma είναι το τελευταίο σε μια σειρά δημοσιοποιήσεων zero-day από τον ερευνητή τις τελευταίες εβδομάδες. Η σειρά ξεκίνησε τον Απρίλιο με το BlueHammer, ένα σφάλμα τοπικής κλιμάκωσης δικαιωμάτων με αναγνωριστικό CVE-2026-33825, ακολούθησε ένα ακόμα σφάλμα κλιμάκωσης δικαιωμάτων με την ονομασία RedSun, και ένα εργαλείο άρνησης υπηρεσίας (DoS) για τον Windows Defender, το UnDefend.

Και τα τρία αυτά exploit εντοπίστηκαν να χρησιμοποιούνται ενεργά σε επιθέσεις μετά τη δημοσιοποίησή τους. Σύμφωνα με τον ερευνητή, η Microsoft διόρθωσε αθόρυβα το ζήτημα RedSun χωρίς να του αποδώσει αναγνωριστικό CVE. Τον ίδιο μήνα, ο ερευνητής κυκλοφόρησε επίσης δύο επιπλέον exploit με ονομασίες YellowKey και GreenPlasma.

Παράγοντες απειλών αξιοποιούν ήδη τρεις πρόσφατα αποκαλυφθείσες ευπάθειες των Windows σε επιθέσεις με στόχο την απόκτηση δικαιωμάτων SYSTEM ή διαχειριστή. Από την αρχή του μήνα, ο ερευνητής γνωστός ως «Chaotic Eclipse» δημοσίευσε κώδικα εκμετάλλευσης και για τα τρία ζητήματα, σε ένδειξη διαμαρτυρίας για τον τρόπο με τον οποίο το Κέντρο Αντιμετώπισης Ασφάλειας της Microsoft (MSRC) χειρίστηκε τη διαδικασία αποκάλυψής τους.

Τι είναι το YellowKey και το GreenPlasma (το άμεσο προηγούμενο)

Για να κατανοηθεί το πλαίσιο, αξίζει να αναφερθεί εν συντομία και το τελευταίο ζεύγος exploit που προηγήθηκε του MiniPlasma: ο Chaotic Eclipse είχε δημοσιεύσει PoC για δύο ευπάθειες, το YellowKey (παράκαμψη BitLocker) και το GreenPlasma (κλιμάκωση δικαιωμάτων). Το YellowKey περιγράφεται από τον ερευνητή ως λειτουργία παρόμοια με backdoor, καθώς το ευάλωτο στοιχείο υπάρχει μόνο στο Windows Recovery Environment (WinRE). Το GreenPlasma αποτελεί ευπάθεια κλιμάκωσης δικαιωμάτων που μπορεί να αξιοποιηθεί για λήψη shell με δικαιώματα SYSTEM, και περιγράφεται ως «ευπάθεια αυθαίρετης δημιουργίας τμήματος μνήμης μέσω CTFMON».

Τι μπορούν να κάνουν οι χρήστες τώρα

Προς το παρόν δεν υπάρχει διαθέσιμη επιδιόρθωση για το MiniPlasma. Οι διαχειριστές συστημάτων καλούνται να ελέγξουν την πολιτική BitLocker, να δώσουν προτεραιότητα στη φυσική ασφάλεια, να περιορίσουν την πρόσβαση στο περιβάλλον αποκατάστασης, να παρακολουθούν ύποπτη χρήση του WinRE και να εξετάσουν ισχυρότερη προστασία προεκκίνησης σε φορητούς υπολογιστές και συστήματα που φιλοξενούν ευαίσθητα δεδομένα. Για το MiniPlasma ειδικά, δεδομένου ότι πρόκειται για τοπική κλιμάκωση δικαιωμάτων, η έκθεση μειώνεται σημαντικά με τον περιορισμό της φυσικής και απομακρυσμένης πρόσβασης σε τερματικά από μη αξιόπιστους χρήστες.

Ο ερευνητής έχει προειδοποιήσει ότι αυτό δεν είναι το τέλος, γράφοντας χαρακτηριστικά: «Το επόμενο Patch Tuesday θα έχει μια μεγάλη έκπληξη για εσάς, Microsoft. Και θυμηθείτε, ποτέ δεν απέτυχα να τηρήσω μια υπόσχεση».

Πηγές

• BleepingComputer — New Windows 'MiniPlasma' zero-day exploit gives SYSTEM access, PoC released