Windows Zero-Day 'MiniPlasma' nutzt Cloud Files Driver für SYSTEM-Privilegieneskalation
Eine neue Zero-Day-Schwachstelle namens **MiniPlasma** wurde bekannt. Sie betrifft den Windows Cloud Files Mini Filter Driver (cldflt.sys). Dieser Fehler ermöglicht es Angreifern, SYSTEM-Privilegien auf vollständig gepatchten Windows-Systemen zu erlangen und potenziell bestehende Sicherheitsmaßnahmen zu umgehen.
**Chaotic Eclipse**, der Sicherheitsforscher, der kürzlich Windows-Schwachstellen wie YellowKey und GreenPlasma enthüllte, hat einen Proof-of-Concept (PoC) für eine Windows-Privilegieneskalations-Zero-Day-Schwachstelle veröffentlicht. Diese Schwachstelle ermöglicht es Angreifern, SYSTEM-Privilegien auf vollständig gepatchten Windows-Systemen zu erlangen.
### MiniPlasma: Tiefere Einblicke in die Schwachstelle
Die Schwachstelle mit dem Codenamen **MiniPlasma** betrifft "cldflt.sys", den **Windows** Cloud Files Mini Filter Driver. Das Problem liegt in einer Routine namens "HsmOsBlockPlaceholderAccess". Sie wurde ursprünglich im September 2020 von James Forshaw, einem Forscher von **Google Project Zero**, an **Microsoft** gemeldet.
### Ein Patch, der keiner war?
Obwohl angenommen wurde, dass **Microsoft** die Schwäche im Dezember 2020 im Rahmen von **CVE-2020-17103** behoben hat, behauptet Chaotic Eclipse, dass weitere Untersuchungen ergaben, dass "genau dasselbe Problem [...] tatsächlich immer noch vorhanden und ungepatcht ist."
"Ich bin mir nicht sicher, ob **Microsoft** das Problem nie behoben hat oder ob der Patch aus unbekannten Gründen stillschweigend zurückgerollt wurde. Der ursprüngliche PoC von **Google** funktionierte ohne Änderungen", erklärte der Forscher. "Um dieses Problem hervorzuheben, habe ich den ursprünglichen PoC zu einer SYSTEM-Shell-Erzeugung "bewaffnet". Es scheint auf meinen Maschinen zuverlässig zu funktionieren, aber die Erfolgsquote kann variieren, da es sich um eine Race Condition handelt."
Der Forscher vermutet, dass alle **Windows**-Versionen wahrscheinlich von dieser Schwachstelle betroffen sind.
### Reale Auswirkungen bestätigt
Der Sicherheitsforscher Will Dormann bestätigte auf Mastodon, dass MiniPlasma "zuverlässig" eine "cmd.exe"-Eingabeaufforderung mit SYSTEM-Privilegien auf **Windows 11**-Systemen öffnet, auf denen die neuesten Mai 2026-Updates laufen. Dormann merkte jedoch an, dass es auf den neuesten Insider Preview Canary **Windows 11**-Builds nicht zu funktionieren scheint.
### Geschichte der cldflt.sys-Schwachstellen
Im Dezember 2025 behob **Microsoft** eine weitere Privilegieneskalationsschwachstelle in derselben Komponente (**CVE-2025-62221**, CVSS-Score: 7.8), von der berichtet wurde, dass sie von unbekannten Bedrohungsakteuren ausgenutzt wurde.