Auf den Punkt: Sicherheitsforscher zeigt, dass eine seit 2020 bekannte Windows-Schwachstelle (MiniPlasma) noch immer ungepatcht ist und SYSTEM-Rechte auf aktuellen Windows-Systemen ermöglicht. Microsoft scheint das Problem entweder nie vollständig behoben oder den Patch später zurückgerollt zu haben.
Ein als MiniPlasma bekanntes Windows-Sicherheitsloch ermöglicht Angreifern die Erlangung von SYSTEM-Privilegien auf vollständig aktualisierten Windows-Systemen. Der Sicherheitsforscher Chaotic Eclipse hat einen Proof-of-Concept veröffentlicht und vermutet, dass die bereits seit 2020 bekannte Schwachstelle von Microsoft nie vollständig behoben wurde.
Chaotic Eclipse, der Sicherheitsforscher hinter den kürzlich offengelegten Windows-Fehlern YellowKey und GreenPlasma, hat einen Proof-of-Concept (PoC) für ein Windows-Privilege-Escalation-Sicherheitsloch veröffentlicht. Die als MiniPlasma bezeichnete Anfälligkeit betrifft den Windows Cloud Files Mini Filter Driver (cldflt.sys), speziell die Routine “HsmOsBlockPlaceholderAccess”.
Google Project Zero Forscher James Forshaw hatte die Lücke bereits im September 2020 Microsoft gemeldet. Man ging davon aus, dass Microsoft das Problem im Dezember 2020 unter CVE-2020-17103 behoben hatte. Chaotic Eclipse stellte jedoch fest, dass “exakt dasselbe Problem tatsächlich noch immer vorhanden und ungepatcht” ist.
Der Forscher instrumentalisierte den ursprünglichen PoC, um eine SYSTEM-Shell zu starten. “Es funktioniert auf meinen Systemen zuverlässig, die Erfolgsquote kann jedoch variieren, da es sich um eine Race Condition handelt”, erklärte er. Da es sich um eine Timing-abhängige Schwachstelle handelt, ist die Zuverlässigkeit unterschiedlich, aber Sicherheitsforscher Will Dormann bestätigte, dass MiniPlasma auf Windows 11-Systemen mit den neuesten Mai-2026-Updates zuverlässig funktioniert und eine cmd.exe-Eingabeaufforderung mit SYSTEM-Privilegien öffnet.
Nach aktuellem Stand sind vermutlich alle Windows-Versionen von dieser Schwachstelle betroffen. Interessanterweise funktioniert die Ausnutzung nicht auf der neuesten Insider Preview Canary Version von Windows 11. Im Dezember 2025 behob Microsoft bereits eine weitere Privilege-Escalation-Flaw in der gleichen Komponente (CVE-2025-62221, CVSS-Score: 7,8), bei der unbekannte Bedrohungsakteure bereits Exploits nutzten.