MiniPlasma-Exploit ermöglicht Systemprivilegien auf Windows
Picus Security hat den MiniPlasma Zero-Day Exploit analysiert. Er nutzt eine ältere Schwachstelle aus, um Systemprivilegien auch auf gepatchten Windows 11-Systemen zu erlangen.
Das Cybersicherheitsunternehmen Picus Security hat eine Analyse des Zero-Day-Exploits namens MiniPlasma veröffentlicht. Dieser Exploit, der auf der bereits identifizierten Schwachstelle CVE-2020-17103 basiert, ermöglicht Angreifern, SYSTEM-Privilegien auf Windows 11 und Server 2022/2025 zu erlangen, selbst auf Systemen, die kürzlich mit Patches versehen wurden.
Die Forschung zeigt, dass die zugrunde liegende Schwachstelle aus dem Jahr 2020 stammt, aber neu entdeckt und neu verpackt wurde. MiniPlasma nutzt eine Schwäche im Cloud Filter Driver von Windows aus, die es einem Angreifer ermöglicht, den Registrierungszugriff zu manipulieren. Insbesondere erlaubt es das Schreiben in den HKEY_USERS.DEFAULT-Hive, der für die höchsten Systemprivilegien reserviert ist.
Das Kernstück des Exploits basiert auf einem Race Condition in Verbindung mit Thread Token Impersonation. Ein Angreifer kann das System so manipulieren, dass es versucht, in den Registrierungs-Hive eines Benutzers zu schreiben. Durch einen temporären Wechsel der Privilegien, schlägt die Operation für den Benutzer-Hive fehl und modifiziert stattdessen den SYSTEM-Hive, wodurch standardmäßige Sicherheitsprüfungen umgangen werden.
Picus Security gibt an, dass seine Plattform MiniPlasma-Angriffe simulieren kann. Diese Fähigkeit ermöglicht es Organisationen, ihre Sicherheitskontrollen wie Endpoint Detection and Response (EDR)-Lösungen zu testen und zu verifizieren, ob diese in der Lage sind, solche hochentwickelten Bedrohungen in Echtzeit zu erkennen und zu verhindern.
Die Analyse unterstreicht die Notwendigkeit kontinuierlicher Sicherheitstests und -überwachung, da bereits entdeckte Schwachstellen auf neuartige Weise für Angriffe genutzt werden können.