W skrócie
Badacz bezpieczeństwa Nightmare-Eclipse opublikował eksploita MiniPlasma, który odkrywa na nowo lukę w Windows 11 pozwalającą na eskalację uprawnień do poziomu SYSTEM. Najgorsze jest to, że tę samą podatność Microsoft rzekomo załatał już w 2020 roku, tymczasem działa ona nadal – także w najnowszej wersji aktualizacji KB5089549. Sprawa dotyczy głównie środowisk korporacyjnych, gdzie przejęcie kontroli nad jednym komputerem może przerodzić się w katastrofę dla całej sieci.
Luka sprzed sześciu lat wraca do gry
Wydawało się, że sprawa dawno została zamknięta. W 2020 roku zespół Google Project Zero zgłosił firmie Microsoft podatność oznaczoną jako CVE-2020-17103, dotyczącą sterownika cldflt.sys odpowiedzialnego za integrację plików w chmurze z OneDrive. Gigant z Redmond wydał wtedy łatkę KB4592438 dla Windows 10, a Google oznaczyło sprawę jako rozwiązaną.
Problem w tym, że rozwiązana nie była. Jak pokazał kod opublikowany na GitHubie, ten sam mechanizm ataku działa w pełni sprawnie na współczesnych, oficjalnie zalatanych systemach Windows 11. Co gorsza, badacz twierdzi, że exploit nie wymaga modyfikacji w porównaniu z oryginalnym dowodem koncepcji sprzed sześciu lat.
Zakładając, że Microsoft rzeczywiście naprawił błąd w 2020 roku, mamy do czynienia z jedną z dwóch sytuacji: albo poprawka zajęła się tylko objawem, a nie źródłem problemu, albo ktoś przypadkowo przywrócił wadliwy kod w jednej z późniejszych aktualizacji. Niezależnie od scenariusza to kompromitujące, że luka przetrwała tak długo.
Jak działa atak MiniPlasma?
Całe zagrożenie kręci się wokół sterownika cldflt.sys, elementu odpowiedzialnego za wyświetlanie w Eksploratorze plików pozycji, które fizycznie znajdują się w chmurze OneDrive. Te pliki działają jak „duchy” – wyglądają, jakby były lokalnie, ale dopiero po otwarciu są pobierane z serwera.
Sterownik pracuje na poziomie jądra systemu i integruje się bezpośrednio ze stosem wejścia/wyjścia plików. Exploit MiniPlasma atakuje funkcję o nazwie HsmOsBlockPlaceholderAccess i pozwala na wprowadzenie dowolnych kluczy rejestru do poddrzewa użytkownika .DEFAULT. W efekcie nieuprzywilejowane konto użytkownika może uruchomić powłokę z uprawnieniami SYSTEM – czyli z pełnym dostępem do maszyny.
Autor exploita, który wcześniej stworzył podobne narzędzie o nazwie GreenPlasma, zaznacza jednak, że atak nie jest w 100% pewny. Bazuje na warunkach wyścigu, co oznacza, że skuteczność zależy od obciążenia procesora, aktualnie działających aplikacji i szczęścia w trafieniu właściwego momentu. Nie zadziała za każdym razem, ale kiedy już zadziała, daje pełną kontrolę.
Ekspert potwierdza – ale jest światełko w tunelu
Badacz bezpieczeństwa Will Dormann przetestował kod MiniPlasma i potwierdził jego działanie na stabilnych wersjach Windows 11. Jednocześnie zwrócił uwagę na ważny szczegół: exploit nie działa w najnowszej kompilacji Windows 11 Insider Preview Canary.
To sugeruje, że Microsoft mógł w końcu zacząć naprawiać problem u źródła. Niestety, różnica czasowa między naprawą w kanale testowym a jej wdrożeniem do wydania stabilnego w ramach Patch Tuesday może wynosić tygodnie lub miesiące. A tymczasem kod exploita jest publicznie dostępny na GitHub dla każdego, kto ma odrobinę wiedzy technicznej.
Kogo naprawdę powinno to martwić?
Dla przeciętnego użytkownika domowego ryzyko jest ograniczone. Atak wymaga lokalnego dostępu, czyli atakujący musi już mieć możliwość uruchomienia kodu na docelowym komputerze. W praktyce oznacza to, że zachowanie podstawowych zasad higieny cyfrowej – nieinstalowanie podejrzanych programów, aktualizowanie systemu i antywirusów – powinno zabezpieczyć przed tym konkretnym zagrożeniem.
Inaczej sprawa wygląda w środowiskach korporacyjnych. Tam wystarczy, że atakujący zdobędzie dostęp do konta zwykłego użytkownika (np. przez phishing lub wyciek hasła), a MiniPlasma zamienia ten niewielki incydent w całkowitą kompromitację maszyny. Z uprawnieniami SYSTEM atakujący może instalować złośliwe oprogramowanie, wykradać dane, tworzyć backdoory czy rozszerzać atak na kolejne komputery w sieci.
Dla działów IT zarządzających setkami komputerów z Windows 11 to potencjalnie poważny problem. Tym bardziej że aktualizacja KB5089549, która teoretycznie powinna chronić przed zagrożeniami, sama przysporzyła użytkownikom kłopotów – od błędów instalacji po spowolnienia połączenia internetowego.
Podsumowanie
MiniPlasma to nieprzyjemne przypomnienie, jak wiele niezałatanych problemów może czaić się w fundamentach popularnych systemów operacyjnych. Fakt, że ta sama luka – z tym samym dowodem koncepcji – wraca po sześciu latach, sugeruje poważny problem z procesem zarządzania bezpieczeństwem w Microsoft. Nie chodzi już o pojedynczy błąd, tylko o strukturalny dług techniczny.
Dla użytkowników domowych spokojnie można poczekać na oficjalną łatkę i nie panikować. Dla administratorów IT to sygnał do wzmożonej czujności: monitorowanie ruchu sieciowego, ograniczanie uprawnień użytkowników i priorytetowe wdrażanie przyszłych poprawek zabezpieczeń to minimum. Miejmy nadzieję, że tym razem Microsoft naprawi problem definitywnie, zamiast odkładać go na kolejne sześć lat.