L'exploit MiniPlasma accorde un accès au niveau système sous Windows

La société de cybersécurité Picus Security a publié une analyse d'un exploit zero-day baptisé MiniPlasma. Cet exploit, basé sur la vulnérabilité déjà identifiée CVE-2020-17103, permet aux attaquants d'obtenir des privilèges de niveau SYSTÈME sur les versions Windows 11 et Server 2022/2025, même sur des systèmes récemment mis à jour.

La recherche souligne que bien que la vulnérabilité sous-jacente date de 2020, elle a été redécouverte et reconditionnée. MiniPlasma exploite une faille au sein du pilote de filtre cloud (Cloud Filter Driver) de Windows, permettant à un attaquant de manipuler l'accès au registre. Plus précisément, il permet d'écrire dans la ruche HKEY_USERS.DEFAULT, réservée aux privilèges les plus élevés du système.

Le cœur de l'exploit repose sur une condition de concurrence (race condition) combinée à l'usurpation de jeton de thread (thread token impersonation). Un attaquant peut manipuler le système pour tenter d'écrire dans la ruche du registre d'un utilisateur. Cependant, en changeant temporairement les privilèges, l'exploit fait échouer l'opération pour la ruche utilisateur et réussit à modifier la ruche SYSTÈME, contournant ainsi les vérifications de sécurité standard.

Picus Security affirme que sa plateforme peut simuler des attaques MiniPlasma. Cette capacité permet aux organisations de tester et de vérifier que leurs contrôles de sécurité, tels que les solutions de détection et de réponse sur les points de terminaison (EDR), sont capables de détecter et de prévenir ces menaces sophistiquées en temps réel.

L'analyse souligne le besoin continu de tests et de surveillance de sécurité robustes, car des vulnérabilités déjà découvertes peuvent être utilisées de manière inédite pour mener des attaques.