**Chaotic Eclipse**, le chercheur en sécurité connu pour avoir récemment révélé des failles Windows comme YellowKey et GreenPlasma, a publié un proof-of-concept (PoC) pour une faille zero-day d'escalade de privilèges sous Windows. Cette vulnérabilité permet aux attaquants d'obtenir des privilèges SYSTEM sur des systèmes Windows entièrement patchés. ### MiniPlasma : Plongée dans la vulnérabilité La vulnérabilité, nommée **MiniPlasma**, impacte "cldflt.sys", le **Windows** Cloud Files Mini Filter Driver. Le problème réside dans une routine nommée "HsmOsBlockPlaceholderAccess". Elle a été initialement signalée à **Microsoft** par James Forshaw, chercheur chez **Google Project Zero**, en septembre 2020. ### Un patch qui n'en était pas un ? Bien qu'il ait été supposé que **Microsoft** avait corrigé la faille en décembre 2020 dans le cadre de la **CVE-2020-17103**, Chaotic Eclipse affirme que des investigations plus poussées ont révélé que "le problème exact [...] est en fait toujours présent, non patché". "Je ne sais pas si **Microsoft** n'a jamais patché le problème ou si le patch a été silencieusement annulé à un moment donné pour des raisons inconnues. Le PoC original de **Google** fonctionnait sans aucune modification", a déclaré le chercheur. "Pour mettre en évidence ce problème, j'ai adapté le PoC original pour lancer un shell SYSTEM. Cela semble fonctionner de manière fiable sur mes machines, mais le taux de succès peut varier car il s'agit d'une condition de concurrence (race condition)." Le chercheur suggère que toutes les versions de **Windows** sont probablement affectées par cette vulnérabilité. ### Impact réel confirmé Le chercheur en sécurité Will Dormann a confirmé sur Mastodon que MiniPlasma ouvre "de manière fiable" une invite "cmd.exe" avec des privilèges SYSTEM sur les systèmes **Windows 11** exécutant les dernières mises à jour de mai 2026. Cependant, Dormann a noté que cela ne semble pas fonctionner sur les dernières builds Insider Preview Canary de **Windows 11**. ### Historique des vulnérabilités de cldflt.sys En décembre 2025, **Microsoft** a corrigé une autre faille d'escalade de privilèges dans le même composant (**CVE-2025-62221**, score CVSS : 7.8), qui aurait été exploitée par des acteurs malveillants inconnus.