MiniPlasma-sårbarhet ger systemåtkomst på Windows-system
Picus Security analyserar en ny zero-day-sårbarhet kallad MiniPlasma. Den utnyttjar ett äldre fel för att ge systemadministratörsrättigheter även på uppdaterade Windows 11-system.
Cybersäkerhetsföretaget Picus Security har publicerat en analys av en zero-day-sårbarhet kallad MiniPlasma. Exploit, som bygger på den äldre sårbarheten CVE-2020-17103, ger angripare möjlighet att erhålla systemadministratörsrättigheter (SYSTEM) på Windows 11-system som officiellt har patchats.
Forskningen visar att även om sårbarheten upptäcktes redan 2020, har den återupptäckts och fått en ny form. MiniPlasma utnyttjar en brist i Windows Cloud Filter Driver, vilket tillåter en angripare att få åtkomst till registret via HKEY_USERS.DEFAULT-nyckeln, som är reserverad för systemets högsta privilegier.
Kärnan i sårbarheten ligger i ett race condition och användningen av token impersonation. En angripare kan manipulera systemet så att det försöker skriva till en användares egna registeravsnitt, men misslyckas och istället hamnar med att modifiera systemadministratörens avsnitt. Detta sker genom en tillfällig ändring av privilegier som kringgår normala säkerhetskontroller.
Picus Security uppger att deras plattform kan simulera MiniPlasma-attacker. Detta gör det möjligt för organisationer att testa och säkerställa att deras säkerhetsprodukter och -policyer kan upptäcka och förhindra sådana attacker i realtid.
Analysen understryker vikten av kontinuerlig säkerhetsövervakning och testning, då även äldre sårbarheter kan utnyttjas på nya sätt.