Efter BlueHammer: MiniPlasma flyttar attackytan in i patchhanteringen

MiniPlasma är inte en ny sårbarhet. Det är en bugg som rapporterades till Microsoft 2020, fick en CVE och en patch, men som sex år senare visar sig vara fullt exploaterbar.

Den röda tråden i Chaotic Eclipse-serien börjar därmed bli tydlig. BlueHammer visade att en säkerhetskomponent kan vara attackytan, medan MiniPlasma demonstrerar att även en levererad patch kan vara det. Båda angriper "trust assumptions" d.v.s. något som organisationer antar fungerar utan löpande verifiering, och hör till en kategori av problem som inte försvinner med en ensam uppdatering.

MiniPlasma tillåter lokal behörighetseskalering från standardanvändare till SYSTEM på fullt patchade Windows 11 samt Windows Server 2022 och 2025. Den ursprungliga sårbarheten dokumenterades av James Forshaw på Google Project Zero i september 2020, fick CVE-2020-17103 och åtgärdades enligt Microsoft i december samma år som en del av en samlad patch. När Chaotic Eclipse under en uppföljande undersökning av sin tidigare GreenPlasma-teknik körde Forshaws PoC från 2020 mot dagens fullt patchade Windows 11 fungerade den utan ändringar. Forskarens slutsats är att korrigeringen antingen aldrig applicerades på den underliggande felvägen eller någon gång efter 2020 rullats tillbaka. NVD-posten för CVE-2020-17103 har sedan dess fått en last modified-tidsstämpel från 18 maj 2026, vilket tyder på att en omvärdering pågår.

Disclosure-mönstret är samma som i april. PoC och kompilerad binär publiceras öppet, utan koordinering med Microsoft, dagen efter Patch Tuesday för att maximera fönstret innan nästa uppdateringscykel (10 juni 2026). Forskarens ursprungliga GitHub-konto har stängts ned av Microsoft sedan BlueHammer-släppen, men koden har speglats till andra plattformar och spridningen är i praktiken oförändrad. Det finns just nu ingen patch att applicera utan Microsoft har bekräftat att de utreder rapporten men har inte angett en tidplan.

För CloudOps Security innebar publiceringen av MiniPlasma ett arbetsflöde liknande det vid BlueHammer-släppen, men detektionen gör nu mer av jobbet eftersom att vi står utan patch.

Detektionslogik specifik för MiniPlasma. Det primära signalvärdet finns i registret innan SYSTEM-skalet initieras och därför fokuserar detektionen på DeviceRegistryEvents mot exakt den nyckel och värde som exploateringen manipulerar. Regeln gjordes omgående tillgänglig för samtliga kunder med CloudOps Security och rullades ut direkt till de kunder som har relevant loggkälla på plats.

Den här typen av detektion förutsätter att registeråtkomst faktiskt loggas på de enheter som täcks av Defender for Endpoint och att korrelationen kan göras tvärs över tenanten, precis det som en MSSP-leverans med uppsatt Lighthouse-åtkomst och/eller rätt GDAP-roller är till för att möjliggöra i praktiken.

Vad vi tar med oss

I de släpp vi nu sett från Chaotic Eclipse är det inte de enskilda sårbarheterna utan de antagandena de successivt bryter ned som är ledmotivet. BlueHammer visade att en säkerhetskomponent inte är en frizon från attackytan medan MiniPlasma visar att en patch inte är en frizon från regression. Sett tillsammans pekar serien mot ett arbete som ligger utanför det reaktiva patchflödet: kontinuerlig validering av att skydd faktiskt skyddar, att patcher faktiskt korrigerar, och att de kompenserande kontroller vi förlitar oss på; principle of least privilege, EDR-täckning, identitetskorrelation, etc. håller även när patchhanteringen inte räcker till. Vi följer Chaotic Eclipse-serien i samma kadens som tidigare.

Referenser

CVE-2020-17103 (MiniPlasma) - Windows Cloud Files Mini Filter Driver LPE, ursprungligen rapporterad av Google Project Zero (James Forshaw) i september 2020, åtgärdad enligt Microsoft i december 2020 via KB4592438 m.fl. Återpublicerad som exploaterbar i maj 2026. Ingen officiell patch utöver detta tillgänglig vid skrivande stund; nästa Patch Tuesday är 10 juni 2026.
CVE-2025-62221
James Forshaw, Hunting for Bugs in Windows Mini-Filter Drivers, Google Project Zero, 14 januari 2021.
ThreatLocker, MiniPlasma: Windows privilege escalation zero-day affects fully patched systems, maj 2026.