Ein Cybersicherheitsforscher, bekannt als **Chaotic Eclipse** oder Nightmare Eclipse, hat einen Proof-of-Concept-Exploit für ein Windows Zero-Day zur Rechteausweitung namens "MiniPlasma" veröffentlicht. Der Forscher hat sowohl den Quellcode als auch eine kompilierte ausführbare Datei auf GitHub veröffentlicht und behauptet, dass **Microsoft** eine zuvor gemeldete Schwachstelle aus dem Jahr 2020 nicht ordnungsgemäß behoben hat. ### Die MiniPlasma-Schwachstelle Laut dem Forscher betrifft die Schwachstelle den `cldflt.sys` Cloud Filter-Treiber und seine `HsmOsBlockPlaceholderAccess`-Routine. Diese Schwachstelle wurde ursprünglich im September 2020 vom Google Project Zero-Forscher James Forshaw an Microsoft gemeldet. Damals wurde der Schwachstelle die Kennung **CVE-2020-17103** zugewiesen und sie wurde Berichten zufolge im Dezember 2020 behoben. "Nach der Untersuchung stellt sich heraus, dass genau dasselbe Problem, das von Google Project Zero an Microsoft gemeldet wurde, tatsächlich immer noch vorhanden und ungepatcht ist", erklärt Chaotic Eclipse. "Ich bin mir nicht sicher, ob Microsoft das Problem nie behoben hat oder ob der Patch aus unbekannten Gründen irgendwann stillschweigend zurückgerollt wurde. Der ursprüngliche PoC von Google funktionierte ohne Änderungen." **BleepingComputer** hat den Exploit auf einem vollständig gepatchten Windows 11 Pro-System getestet, das die neuesten Patch-Tuesday-Updates vom Mai 2026 ausführt. Der Test hat erfolgreich ein Standardbenutzerkonto nach Ausführung des Exploits in SYSTEM-Privilegien hochgestuft.  Will Dormann, Principal Vulnerability Analyst bei **Tharros**, hat den Exploit ebenfalls in seinen Tests auf der neuesten öffentlichen Version von Windows 11 bestätigt. Er stellte jedoch fest, dass die Schwachstelle in der neuesten Windows 11 Insider Preview Canary-Build nicht funktioniert. Der Exploit scheint den Umgang des Windows Cloud Filter-Treibers mit der Erstellung von Registrierungsschlüsseln über eine undokumentierte CfAbortHydration API zu missbrauchen. Forshaws ursprünglicher Bericht deutete darauf hin, dass die Schwachstelle die Erstellung beliebiger Registrierungsschlüssel im .DEFAULT-Benutzer-Hive ohne ordnungsgemäße Zugriffsprüfungen ermöglichen könnte, was potenziell eine Rechteausweitung ermöglicht. Obwohl Microsoft berichtet, den Fehler als Teil seines Microsoft Patch Tuesday im Dezember 2020 behoben zu haben, behauptet Chaotic Eclipse, dass die Schwachstelle immer noch ausgenutzt werden kann. BleepingComputer hat Microsoft um eine Stellungnahme gebeten und wird die Geschichte bei Bedarf aktualisieren. ### Eine Reihe von Zero-Day-Offenlegungen MiniPlasma ist die neueste in einer Reihe von Windows Zero-Day-Offenlegungen, die der Forscher in den letzten Wochen veröffentlicht hat. Die Offenlegungsreihe begann im April mit **BlueHammer**, einer Windows-Schwachstelle zur lokalen Rechteausweitung, die als CVE-2026-33825 verfolgt wird, gefolgt von einer weiteren Schwachstelle zur Rechteausweitung, **RedSun**, und einem Windows Defender DoS-Tool, **UnDefend**. Nach ihrer Offenlegung wurden alle drei Schwachstellen Berichten zufolge in Angriffen ausgenutzt. Laut dem Forscher hat Microsoft das RedSun-Problem stillschweigend behoben, ohne ihm eine CVE-Kennung zuzuweisen. In diesem Monat veröffentlichte der Forscher auch zwei weitere Exploits namens **YellowKey** und **GreenPlasma**. YellowKey ist eine **BitLocker**-Umgehung, die Windows 11 und Windows Server 2022/2025 betrifft und eine Befehlsshell startet, die Zugriff auf entsperrte Laufwerke gewährt, die durch TPM-only BitLocker-Konfigurationen geschützt sind. Chaotic Eclipse hat erklärt, dass sie diese Windows Zero-Days öffentlich offenlegen, um gegen das Bug-Bounty- und Schwachstellenmanagementverfahren von Microsoft zu protestieren. "Normalerweise würde ich den Prozess durchlaufen, sie anzuflehen, einen Fehler zu beheben, aber um es zusammenzufassen, wurde mir persönlich von ihnen gesagt, dass sie mein Leben ruinieren werden, und das haben sie getan, und ich bin mir nicht sicher, ob ich der Einzige war, der diese schreckliche Erfahrung gemacht hat, oder nur wenige Leute, aber ich denke, die meisten würden es einfach hinnehmen und ihre Verluste abschreiben, aber für mich haben sie mir alles genommen", behauptete der Forscher. "Sie haben den Boden mit mir aufgewischt und jedes kindische Spiel gespielt, das sie konnten. Es war so schlimm, dass ich mich irgendwann gefragt habe, ob ich es mit einem riesigen Unternehmen zu tun habe oder mit jemandem, der einfach nur Spaß daran hat, mich leiden zu sehen, aber es scheint eine kollektive Entscheidung zu sein." Microsoft hat zuvor erklärt, dass es die koordinierte Offenlegung von Schwachstellen unterstützt und sich verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und Kunden durch Updates zu schützen.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)