Auf den Punkt: Eine angeblich 2020 behobene Windows-Lücke (CVE-2020-17103) lässt sich auf aktuellen Systemen weiterhin zur Privilege-Escalation ausnutzen, der Exploit wurde öffentlich freigegeben.
Ein Forscher veröffentlichte einen funktionsfähigen Exploit für eine Windows-Privilege-Escalation-Lücke namens „MiniPlasma", die Angreifern vollständige Systemrechte auf aktualisierten Windows-Systemen verschafft. Microsoft hatte diese Schwachstelle nach eigenen Angaben bereits 2020 behoben, doch der aktuelle Exploit zeigt, dass die Lücke weiterhin existiert.
Der Forscher unter dem Pseudonym Chaotic Eclipse veröffentlichte Quellcode und kompilierten Exploit auf GitHub für eine Lücke im Windows Cloud Filter-Treiber „cldflt.sys”. Betroffen ist die Routine „HsmOsBlockPlaceholderAccess”, die ursprünglich im September 2020 von James Forshaw aus Googles Project Zero Team an Microsoft gemeldet wurde und die Kennung CVE-2020-17103 erhielt. Microsoft teilte mit, das Problem im Dezember 2020 gepatcht zu haben.
Chaotic Eclipse berichtet, dass die identische Schwachstelle nach eigenen Tests unverändert noch immer vorhanden ist. Der ursprüngliche Proof-of-Concept von Google funktioniere ohne Änderungen. BleepingComputer bestätigte die Funktionsfähigkeit auf einem vollständig gepatchten Windows 11 Pro System mit den aktuellsten Mai-2026-Updates: Mit einem Standardnutzerkonto ließ sich nach Exploit-Ausführung eine Eingabeaufforderung mit SYSTEM-Privilegien öffnen. Auch Will Dormann von Tharros bestätigte die Funktionsfähigkeit auf Windows 11, merkte aber an, dass der Exploit gegen die neueste Windows 11 Insider Preview Canary-Version nicht wirkt.
Der Exploit nutzt aus, wie der Cloud Filter-Treiber die Erstellung von Registrierungsschlüsseln über die undokumentierte CfAbortHydration-API verarbeitet. Forshaws ursprünglicher Bericht beschrieb, dass beliebige Registrierungsschlüssel in der DEFAULT-Benutzerhive ohne angemessene Zugriffsprüfungen erstellt werden können, was Privilege Escalation ermöglicht.
MiniPlasma ist die dritte in einer Serie von Windows-Exploits, die Chaotic Eclipse in den vergangenen Wochen veröffentlichte: Im April folgte BlueHammer (CVE-2026-33825), dann RedSun sowie das Windows Defender DoS-Tool UnDefend. Alle drei wurden anschließend in Angriffen eingesetzt. Im Mai folgten YellowKey und GreenPlasma; YellowKey hebelt BitLocker auf Windows 11 und Windows Server 2022/2025 aus und verschafft Zugriff auf TPM-only-geschützte Laufwerke.
Der Forscher begründet die öffentlichen Veröffentlichungen mit Kritik an Microsofts Bug-Bounty und Vulnerability-Handling-Prozess. Nach eigenem Bericht sei er von Microsoft in einem persönlichen Austausch als bedroht worden, was ihn zur Protest-Veröffentlichung bewogen habe.
Quelle: ainews-dev.lumi-systems.io · Erschienen 18. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.