Un chercheur en cybersécurité connu sous le nom de **Chaotic Eclipse**, ou Nightmare Eclipse, a publié un exploit proof-of-concept pour un zero-day d'escalade de privilèges sous Windows baptisé "MiniPlasma". Le chercheur a publié le code source et un exécutable compilé sur GitHub, affirmant que **Microsoft** n'a pas correctement corrigé une vulnérabilité signalée en 2020. ### La vulnérabilité MiniPlasma Selon le chercheur, la faille affecte le pilote Cloud Filter `cldflt.sys` et sa routine `HsmOsBlockPlaceholderAccess`. Cette vulnérabilité a été initialement signalée à Microsoft par James Forshaw, chercheur chez **Google Project Zero**, en septembre 2020. À l'époque, la faille s'était vu attribuer l'identifiant **CVE-2020-17103** et aurait été corrigée en décembre 2020. "Après investigation, il s'avère que le même problème exact qui a été signalé à Microsoft par Google Project Zero est en fait toujours présent, non corrigé", explique Chaotic Eclipse. "Je ne suis pas sûr si Microsoft n'a jamais corrigé le problème ou si le correctif a été silencieusement annulé à un moment donné pour des raisons inconnues. Le PoC original de Google fonctionnait sans aucune modification." **BleepingComputer** a testé l'exploit sur un système Windows 11 Pro entièrement patché, exécutant les dernières mises à jour du Patch Tuesday de mai 2026. Le test a réussi à élever un compte utilisateur standard au rang de privilèges SYSTEM après l'exécution de l'exploit.  Will Dormann, analyste principal des vulnérabilités chez **Tharros**, a également confirmé que l'exploit fonctionnait lors de ses tests sur la dernière version publique de Windows 11. Cependant, il a noté que la faille ne fonctionnait pas dans la dernière build Insider Preview Canary de Windows 11. L'exploit semble abuser de la manière dont le pilote Windows Cloud Filter gère la création de clés de registre via une API CfAbortHydration non documentée. Le rapport original de Forshaw indiquait que la faille pouvait permettre la création de clés de registre arbitraires dans la ruche utilisateur .DEFAULT sans vérifications d'accès appropriées, permettant potentiellement une escalade de privilèges. Bien que Microsoft affirme avoir corrigé le bug dans le cadre de son Patch Tuesday de décembre 2020, Chaotic Eclipse affirme que la vulnérabilité peut toujours être exploitée. BleepingComputer a contacté Microsoft pour obtenir un commentaire et mettra à jour l'article si nécessaire. ### Une série de divulgations de zero-day MiniPlasma est le dernier d'une série de divulgations de zero-day Windows publiées par le chercheur ces dernières semaines. La série de divulgations a commencé en avril avec **BlueHammer**, une faille d'escalade de privilèges locale sous Windows suivie sous la référence CVE-2026-33825, suivie d'une autre vulnérabilité d'escalade de privilèges, **RedSun**, et d'un outil de déni de service pour Windows Defender, **UnDefend**. Suite à leur divulgation, les trois vulnérabilités auraient été exploitées dans des attaques. Selon le chercheur, Microsoft a corrigé silencieusement le problème RedSun sans lui attribuer d'identifiant CVE. Ce mois-ci, le chercheur a également publié deux exploits supplémentaires nommés **YellowKey** et **GreenPlasma**. YellowKey est un contournement de **BitLocker** affectant Windows 11 et Windows Server 2022/2025 qui lance un shell de commande, donnant accès aux lecteurs déverrouillés protégés par des configurations BitLocker basées uniquement sur TPM. Chaotic Eclipse a déclaré qu'il divulguait publiquement ces zero-days Windows en signe de protestation contre le programme de bug bounty et le processus de gestion des vulnérabilités de Microsoft. "Normalement, je passerais par le processus de les supplier de corriger un bug, mais pour résumer, on m'a dit personnellement par eux qu'ils ruineraient ma vie et ils l'ont fait, et je ne suis pas sûr si j'étais le seul à avoir eu cette expérience horrible ou si peu de gens l'ont eue, mais je pense que la plupart se contenteraient de l'accepter et de couper leurs pertes, mais pour moi, ils ont tout pris", a allégué le chercheur. "Ils m'ont traîné dans la boue et ont utilisé tous les jeux d'enfants possibles. C'était tellement mauvais à un moment donné que je me demandais si j'avais affaire à une énorme entreprise ou à quelqu'un qui s'amusait simplement à me voir souffrir, mais cela semble être une décision collective." Microsoft a précédemment déclaré qu'il soutenait la divulgation coordonnée des vulnérabilités et s'engageait à enquêter sur les problèmes de sécurité signalés et à protéger les clients par le biais de mises à jour.  ## Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six. Les outils de tests d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)