MiniPlasma-haavoittuvuus mahdollistaa järjestelmätason pääsyn Windowsiin
Picus Security analysoi MiniPlasma-nimisen nollapäivähaavoittuvuuden, joka hyödyntää vanhaa virhettä mahdollistaakseen järjestelmätason etuoikeudet jopa päivitetyissä Windows 11 -järjestelmissä.
Verkkoturvallisuusyhtiö Picus Security on julkaissut analyysin MiniPlasma-nimisestä nollapäivähaavoittuvuudesta. Exploit, joka perustuu vanhaan CVE-2020-17103 -haavoittuvuuteen, antaa hyökkääjille mahdollisuuden saada järjestelmänvalvojan (SYSTEM) oikeudet Windows 11 -versioihin, jotka on virallisesti pävitetty.
Tutkimus paljastaa, että vaikka haavoittuvuus on peräisin vuodelta 2020, se on löydetty uudelleen ja saanut uuden muodon. MiniPlasma hyödyntää Windowsin pilvisuodatuksen ohjainohjelmiston (Cloud Filter Driver) haavoittuvuutta. Tämä mahdollistaa hyökkääjälle pääsyn rekisteriavainten kautta HKEY_USERS.DEFAULT-osiota, joka on varattu järjestelmän korkeimmille oikeuksille.
Haavoittuvuuden ytimessä on ajoitusvirhe (race condition) ja säikeen esiintymisen (token impersonation) käyttö. Hyökkääjä voi manipuloida järjestelmää siten, että se yrittää kirjoittaa tietoja käyttäjän omasta rekisteriosasta, mutta epäonnistuu ja päätyy sen sijaan muokkaamaan järjestelmänvalvojan osiota. Tämä tapahtuu hetkellisellä oikeuksien muutoksella, joka ohittaa normaalit turvatarkastukset.
Picus Securityn mukaan heidän alustansa pystyy simuloimaan MiniPlasma-hyökkäyksiä. Tämän avulla organisaatiot voivat testata ja varmistaa, että niiden tietoturvatuotteet ja -käytännöt ovat kykeneviä havaitsemaan ja estämään tämänkaltaisia hyökkäyksiä reaaliaikaisesti.
Analyysi korostaa jatkuvan turvallisuusseurannan ja testauksen tärkeyttä, sillä vanhojakin haavoittuvuuksia voidaan edelleen hyödyntää uusilla tavoilla.