MiniPlasma exploit ponovo aktuelan: Šta korisnici Windows-a treba da znaju
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadačima da preuzmu sistemske privilegije čak i na potpuno ažuriranim Windows sistemima. Objavljen na GitHub-u 13. maja, exploit je odmah izazvao pažnju stručnjaka zbog potencijalno velike opasnosti.
Problem nastaje jer Microsoft ili nije uspeo da efikasno zakrpi ranjivost ili je zakrpa objavljena pre šest godina vremenom prestala da bude delotvorna. Nightmare-Eclipse tvrdi da se ranjivost i dalje može iskoristiti bez ikakvih izmena originalnog koda, što dodatno povećava rizik za korisnike.
Tehnička priroda ranjivosti
Ranjivost se nalazi u cldflt.sys Cloud Filter drajveru, tačnije u funkciji HsmOsBlockPlaceholderAccess. Prvobitno ju je još 2020. godine otkrio istraživač Google Project Zero tima, Džejm Foršo, koji je odmah i prijavio problem Microsoftu. Ova ranjivost omogućava lokalnim napadačima da manipulišu ključevima registra, što je naročito opasno za korisnike sa administrativnim privilegijama.
Microsoft je ranjivosti dodelio oznaku CVE-2020-17103 i objavio zakrpu u Patch Tuesday ažuriranju iz decembra 2020. godine. Ipak, analiza pokazuje da je ranjivost i dalje aktivna, što znači da zakrpa ne nudi potpunu zaštitu. Stručnjaci smatraju da nedostatak kontinuirane verifikacije zakrpe povećava šanse za zloupotrebu MiniPlasma exploita.
Kako MiniPlasma funkcioniše
MiniPlasma iskorišćava način na koji Cloud Filter drajver rukuje kreiranjem ključeva registra unutar .DEFAULT user hive-a, a da pritom ne proverava adekvatno pristupne privilegije. Zbog toga lokalni korisnici mogu zaobići standardna ograničenja sistema. Ovaj mehanizam omogućava napadaču da stvori ili menja kritične ključeve koje inače ne bi mogao da dodirne.
Dodatno, exploit manipuliše korisničkim i anonimnim tokenima kako bi otvorio .DEFAULT hive sa privilegijama za upis. Kada napad uspe, napadač pokreće komandnu liniju sa sistemskim privilegijama, što praktično omogućava potpunu kontrolu nad uređajem. Ovo čini MiniPlasma jednim od najsnažnijih lokalnih exploit-a koji trenutno cirkulišu za Windows sisteme.
Široka izloženost sistema
Ranjivost utiče na sve verzije Windows-a, a problem je posebno izražen jer je Cloud Filter deo sinhronizacionih servisa poput OneDrive-a. Zbog toga ranjivi kod postoji na velikom broju računara širom sveta. Velika rasprostranjenost komponenti koje koriste Cloud Filter znači da milioni korisnika mogu biti izloženi potencijalnim napadima.
Objava MiniPlasma exploita dan nakon Microsoftovog Patch Tuesday ciklusa za maj 2026. godine dodatno komplikuje situaciju, jer trenutno ne postoji zvanična zakrpa koja bi odmah rešila problem. Korisnici se stoga savetuju da budu posebno oprezni i da prate nadolazeća bezbednosna ažuriranja.
Rizik i preporuke stručnjaka
Stručnjaci upozoravaju da javno dostupni exploit značajno povećava šanse za zloupotrebu ranjivosti u realnim napadima. Svaki korisnik Windows-a trenutno je potencijalno izložen, posebno oni koji koriste Cloud Filter funkcionalnosti i OneDrive sinhronizaciju.
Preporučuje se praćenje narednih bezbednosnih ažuriranja i privremeno ograničavanje pristupa kritičnim funkcijama, dok Microsoft ne objavi zakrpu koja trajno rešava ranjivost. Takođe, pažljivo rukovanje privilegijama i praćenje aktivnosti sistema može pomoći u smanjenju rizika.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
