Windows存在零時差漏洞MiniPlasma，攻擊者可取得SYSTEM權限

上週末Chaotic Eclipse公布資安漏洞MiniPlasma，並強調該漏洞並非他首度發現，而是Google Project Zero團隊於2020年9月向微軟通報，該漏洞被登記為CVE-2020-17103，微軟在2020年12月例行安全性更新已發布更新軟體。然而，Chaotic Eclipse在調查零時差漏洞GreenPlasma的過程發現，當時理應被修補的雲端過濾器驅動程式功能HsmOsBlockPlaceholderAccess，仍存在漏洞——而且該弱點實際上在6年前就被通報，而且微軟也表明已完成修補。不過，根據調查，他發現這項問題迄今依然存在，而且Google當時提供的概念驗證程式碼（PoC），在無須修改的情況下竟能正常運作。對於MiniPlasma的出現，Chaotic Eclipse推測有可能是修補程式碼在某個時間點被撤回或覆蓋（rollback），但也不排除是微軟根本沒有進行修補，不過實際原因為何，有待微軟進一步說明。

針對MiniPlasma造成的影響，Chaotic Eclipse調整原本Google公布的概念驗證程式碼，並指出一旦成功利用，就能得到SYSTEM層級的Shell。根據原始的微軟公告內容，此漏洞存在於Cloud Files Mini Filter Driver的元件，為權限提升漏洞，CVSS風險為7.0分，嚴重程度被評估為重要（Important）等級。Tharros首席漏洞分析師Will Dormann、資安新聞網站Bleeping Computer都確認MiniPlasma確實存在，Dormann測試多個版本的Windows 11，並指出他在套用今年5月更新程式的25H2及26H1成功取得SYSTEM權限。不過，Dormann也提及，測試版Windows 11 Insider Preview Canary（Build 28020.2075）似乎已經進行修補。