Symbolbild eines Windows-Laptops mit beschädigtem Windows-Logo und leuchtendem roten Vorhängeschloss als Darstellung eines Windows-Zero-Days, SYSTEM-Rechten und möglicher Schwächen in Microsofts Sicherheitsupdates.
MiniPlasma erschüttert das Vertrauen in Microsofts Sicherheitsupdates.
Bildquelle: ChatGPT

MiniPlasma zeigt: Selbst gepatchtes Windows ist angreifbar

von Antonia Frank Lesezeit: 6 Min.

MiniPlasma verschafft SYSTEM-Rechte auf gepatchten Windows-Systemen. Der neue Zero-Day wirft Fragen zu Microsofts Patchmanagement auf.

Inhalt

Mit MiniPlasma ist ein neuer Windows-Zero-Day öffentlich geworden, der erhebliche Zweifel an Microsofts langfristigem Patchmanagement aufwirft. Der veröffentlichte Exploit ermöglicht laut mehreren Sicherheitsforschern eine lokale Rechteausweitung bis hin zu SYSTEM-Rechten, selbst auf vollständig gepatchten Windows-11-Systemen.

Nach YellowKey, GreenPlasma und BlueHammer sorgt aktuell der nächste Windows-Exploit für Aufsehen. Mit MiniPlasma veröffentlicht Chaotic Eclipse einen neuen Zero-Day, der selbst auf vollständig gepatchten Windows-Systemen SYSTEM-Rechte ermöglichen soll. Dabei ist weniger die technische Komplexität des Angriffs als vielmehr dessen Ursprung bemerkenswert. Die zugrunde liegende Schwachstelle CVE-2020-17103 wurde bereits vor Jahren von Google Project Zero an Microsoft gemeldet und laut offiziellen Angaben Ende 2020 geschlossen. Dennoch soll diese Sicherheitslücke weiterhin vollständig ausnutzbar sein.

MiniPlasma verschafft SYSTEM-Rechte auf gepatchten Windows-Systemen

Der neue MiniPlasma-Exploit stammt vom Sicherheitsforscher „Chaotic Eclipse“, der über den GitHub-Account „Nightmare-Eclipse“ bereits mehrere Windows-Zero-Days veröffentlicht hat. Dazu gehören unter anderem YellowKey, GreenPlasma, BlueHammer und RedSun.

Technisch handelt es sich bei MiniPlasma um einen lokalen Privilege-Escalation-Exploit. Angreifer können dadurch aus einem normalen Benutzerkonto heraus SYSTEM-Rechte erlangen und damit praktisch vollständige Kontrolle über ein Windows-System übernehmen.

Screenshot eines Windows-Terminals mit erfolgreicher Ausführung des MiniPlasma-Exploits und anschließender SYSTEM-Shell mit „nt authority\system“.
Der veröffentlichte Windows-Zero-Day endet direkt mit einer SYSTEM-Shell unter Windows.

Laut BleepingComputer funktionierte der veröffentlichte Proof of Concept (PoC) selbst in Tests auf vollständig gepatchten Windows-11-Pro-Systemen mit den aktuellen Mai-2026-Updates. Der MiniPlasma-PoC startet dabei am Ende direkt eine cmd.exe mit SYSTEM-Rechten. Auch Sicherheitsforscher Will Dormann bestätigte die grundlegende Funktionsfähigkeit des Angriffs auf aktuellen öffentlichen Windows-11-Versionen.

Die Schwachstelle steckt im Windows-Cloud-Filter-Treiber

MiniPlasma nutzt offenbar eine Schwachstelle innerhalb des Windows-Cloud-Filter-Treibers cldflt.sys. Konkret betroffen ist die Funktion HsmOsBlockPlaceholderAccess, die bereits 2020 von Google-Project-Zero-Forscher James Forshaw untersucht wurde.

Damals erhielt die Sicherheitslücke die Kennung CVE-2020-17103. Microsoft veröffentlichte dafür im Dezember 2020 einen offiziellen Patch. Laut Chaotic Eclipse ist die Schwachstelle jedoch weiterhin vorhanden. Der ursprüngliche Proof of Concept von Forshaw funktioniere laut dem Forscher noch immer ohne Änderungen. Der veröffentlichte MiniPlasma-Exploit erweitert diesen älteren PoC nun zu einem vollständigen Angriff mit SYSTEM-Shell.

MiniPlasma nutzt Schwächen im Cloud-Filter-Treiber

Technisch missbraucht MiniPlasma offenbar fehlerhafte Zugriffskontrollen innerhalb einer undokumentierten Windows-API rund um CfAbortHydration. Der Angriff manipuliert Registry-Schlüssel innerhalb der Registry-Hive .DEFAULT und umgeht dabei normale Berechtigungsprüfungen. Nach den veröffentlichten technischen Beschreibungen nutzt der Exploit eine Race Condition zwischen Benutzer- und Anonymous-Token aus. Gelingt der Angriff, öffnet Windows die .DEFAULT-Registry-Hive mit Schreibrechten und erlaubt letztlich die Eskalation bis hin zu SYSTEM-Rechten.

Der betroffene Cloud-Filter-Treiber ist dabei auf sehr vielen Windows-Systemen aktiv. Er wird unter anderem für OneDrive- und Cloud-Synchronisationsfunktionen verwendet und gehört damit praktisch zur Standardinstallation moderner Windows-Versionen. Chaotic Eclipse erklärte zudem, der Angriff funktioniere zuverlässig auf den eigenen Testsystemen, auch wenn die Erfolgsquote aufgrund der Race Condition variieren könne.

Die Sicherheitslücke von 2020 ist offenbar nie verschwunden

MiniPlasma sorgt vor allem deshalb für Diskussionen, weil die Schwachstelle eigentlich bereits seit Jahren als behoben galt. Laut Chaotic Eclipse wurde der ursprüngliche Patch möglicherweise nie vollständig umgesetzt oder später versehentlich zurückgerollt. Security Affairs spricht deshalb bereits von einer möglicherweise „verschwundenen Sicherheitskorrektur“. Aber auch andere Sicherheitsmedien werfen inzwischen Fragen zur Zuverlässigkeit langfristiger Windows-Patches auf.

Will Dormann stellte zusätzlich fest, dass MiniPlasma zwar auf aktuellen öffentlichen Windows-11-Versionen funktioniere, nicht jedoch auf der neuesten Windows-11-Insider-Preview-Canary-Version. Dies könnte darauf hindeuten, dass Microsoft intern bereits an einer neuen Korrektur arbeitet. Eine offizielle Bestätigung dafür gibt es bisher allerdings nicht.

Chaotic Eclipse erhöht den Druck auf Microsoft weiter

MiniPlasma folgt auf eine ganze Serie veröffentlichter Windows-Exploits. Bereits zuvor hatte Chaotic Eclipse mehrere Zero-Days veröffentlicht, darunter YellowKey, GreenPlasma, BlueHammer und RedSun. Einige dieser Schwachstellen wurden laut Huntress und weiteren Sicherheitsforschern schon kurz nach ihrer Veröffentlichung aktiv ausgenutzt.

Besonders YellowKey sorgte zuletzt für Aufsehen, weil sich damit BitLocker-Schutzmechanismen unter Windows 11 sowie Windows Server 2022 und 2025 umgehen lassen. Die Angriffe zielten dabei auf WinRE, Secure Boot und TPM-only-BitLocker-Konfigurationen.

Chaotic Eclipse begründet die öffentlichen Veröffentlichungen mit Frust über Microsofts Umgang mit gemeldeten Schwachstellen. In mehreren Blogeinträgen erhebt der Forscher schwere Vorwürfe gegen Microsofts Security Response Center (MSRC) und spricht unter anderem von stillschweigenden Patches, problematischen Disclosure-Prozessen und Ignoranz gegenüber Sicherheitsforschern.

Nach eigenen Aussagen fühlte sich der Forscher von Microsoft regelrecht zerstört. Der Konzern habe ihn systematisch zermürbt und gegen sich aufgebracht. Eben dieser Frust scheint eine ganze Serie öffentlicher Windows-Zero-Days anzutreiben. Für zusätzliche Aufmerksamkeit sorgt außerdem die Ankündigung weiterer Veröffentlichungen. Chaotic Eclipse stellte bereits neue Überraschungen für kommende Patch Tuesdays in Aussicht.

Alte Sicherheitslücken werden erneut aktuell

Der Fall MiniPlasma weist auf ein grundsätzliches Problem moderner Softwareentwicklung hin. Sicherheitsupdates gelten zwar häufig als dauerhaft geschlossene Probleme. Tatsächlich können Schwachstellen durch Refactoring, Codeänderungen oder Regressionen jedoch Jahre später erneut auftauchen.

Besonders Unternehmen verlassen sich massiv auf klassisches Patchmanagement. Sollte sich bestätigen, dass eine bereits 2020 geschlossene Schwachstelle auch 2026 weiterhin SYSTEM-Rechte ermöglicht, würde das grundlegende Annahmen moderner Windows-Sicherheit infrage stellen.

Kritisch ist zudem die öffentliche Verfügbarkeit des MiniPlasma-Exploits. Erfahrungsgemäß dauert es nach der Veröffentlichung funktionierender Proofs of Concept oft nur wenige Tage, bis erste Angreifer daraus produktive Malware oder Angriffswerkzeuge entwickeln.

Microsoft steht erneut unter Druck

Microsoft erklärte gegenüber mehreren Medien, man untersuche gemeldete Sicherheitsprobleme weiterhin und unterstütze koordinierte Offenlegungsverfahren für Sicherheitslücken. Eine konkrete Stellungnahme zu MiniPlasma oder zur Frage eines möglicherweise unvollständigen Patches für CVE-2020-17103 veröffentlichte der Konzern bisher allerdings nicht.

Der neue Windows-Zero-Day erhöht den Druck auf Microsoft damit weiter. Nicht nur die öffentliche Exploit-Serie von Chaotic Eclipse belastet den Konzern derzeit. Viel problematischer ist die wachsende Diskussion darüber, ob ältere Windows-Sicherheitslücken tatsächlich dauerhaft geschlossen bleiben. MiniPlasma gilt damit als Symptom tieferliegender Probleme innerhalb des Windows-Sicherheitsmodells.

Vollständig gepatcht bedeutet nicht automatisch sicher

Mit MiniPlasma eskaliert die aktuelle Serie veröffentlichter Windows-Zero-Days weiter. Dass ein angeblich bereits 2020 gepatchter Fehler auch 2026 noch SYSTEM-Rechte ermöglichen soll, wirft unangenehme Fragen zur Qualität langfristiger Sicherheitskorrekturen auf.

Wenn alte Schwachstellen durch fehlerhafte Wartung, Regressionen oder unvollständige Sicherheitsfixes erneut ausnutzbar werden, reicht klassisches Patchmanagement irgendwann nicht mehr aus. Für Administratoren, Unternehmen und Windows-Nutzer ist „vollständig gepatcht“ damit kein Synonym mehr für „wirklich sicher“.

Jetzt kommentieren
Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.