Een cybersecurityonderzoeker heeft een nieuw beveiligingslek in Windows onthuld onder de naam “MiniPlasma”. Dit lek stelt aanvallers in staat om op volledig bijgewerkte Windows-systemen toegang te krijgen tot systeemprivileges.

De onderzoeker, bekend als Chaotic Eclipse, heeft zowel de broncode als een gecompileerd uitvoerbaar bestand op GitHub geplaatst. Hij beweert dat Microsoft een eerder gemeld beveiligingsprobleem uit 2020 onvoldoende heeft aangepakt.

Volgens de onderzoeker betreft het lek de ‘cldflt.sys‘ Cloud Filter-driver en een specifieke routine genaamd ‘HsmOsBlockPlaceholderAccess‘. Dit probleem werd oorspronkelijk gemeld door James Forshaw van Google Project Zero in september 2020 en zou in december 2020 zijn verholpen.

“Na onderzoek blijkt dat het exacte probleem dat destijds aan Microsoft werd gerapporteerd nog steeds aanwezig is, zonder oplossing,” legt Chaotic Eclipse uit. “Ik weet niet zeker of Microsoft het nooit heeft gerepareerd of dat de patch om onbekende redenen stilletjes is teruggedraaid.”

BleepingComputer heeft de exploit getest op een volledig bijgewerkte Windows 11 Pro-systeem. Na het uitvoeren van de exploit op een standaardgebruikersaccount werd er een opdrachtprompt met systeemrechten geopend.

Will Dormann, hoofdanalist bij Tharros, bevestigde ook dat de exploit werkt op de nieuwste publieke versie van Windows 11, maar niet in de Windows 11 Insider Preview Canary-versie.

De exploit maakt gebruik van een probleem met de Windows Cloud Filter-driver die registertoetsaanmaak onjuist afhandelt via een niet-gedocumenteerde CfAbortHydration API. Forshaw meldde dat het mogelijk is om willekeurige registertoetsen te maken zonder de juiste toegangscontrole.

Hoewel Microsoft beweert het probleem in december 2020 te hebben verholpen, stelt Chaotic Eclipse dat de kwetsbaarheid nog steeds misbruikt kan worden. BleepingComputer heeft contact opgenomen met Microsoft voor een reactie.

### Onderzoeker achter recente Windows-lekken

MiniPlasma is slechts één van de vele Windows-lekken die de onderzoeker recent heeft onthuld. Het begon in april met de zogeheten BlueHammer-probleem, gevolgd door RedSun en UnDefend.

Deze maand kwam hij ook met YellowKey, een BitLocker-bypass, en GreenPlasma. YellowKey geeft toegang tot vergrendelde schijven op systemen met TPM-only BitLocker-configuraties.

Chaotic Eclipse verklaarde dat hij deze zero-days openbaar maakt als protest tegen Microsofts beloningsbeleid voor het melden van beveiligingslekken. “Ze maakten mijn leven zuur, en ondanks dat velen gewoon zwijgen en hun verliezen accepteren, besloot ik hiertegen in te gaan,” aldus de onderzoeker.

Microsoft laat weten dat ze zich inzetten voor een gecoördineerde melding van kwetsbaarheden en hun klanten willen beschermen door middel van updates.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.