BleepingComputerは、MiniPlasmaエクスプロイトが2026年5月の更新プログラムを適用したWindows 11 Proで動作することを確認しました。一般ユーザーがSYSTEM権限でコマンドプロンプトを開くことができます。アナリストのWill Dormann氏はこの結果を再現しましたが、この欠陥はInsider Preview Canaryビルドでは再現しないことに気づきました。この攻撃はcldflt.sysドライバーを使用します。
cldflt.sysドライバーがどのように特権昇格を可能にするか 🛡️
このエクスプロイトは、cldflt.sysドライバーの機能を利用して、文書化されていないAPIを介してレジストリキーを処理します。これにより、権限チェックなしで任意のキーを作成できます。これらのキーを操作することで、攻撃者はオペレーティングシステム上で特権を昇格させることができます。レジストリの特定のパスにおける制御の欠如により、一般ユーザーアカウントからSYSTEMへの移行が容易になります。Microsoftはまだ公式パッチをリリースしていません。
Microsoftはバグを修正したが、誰も使っていないブランチのみ 🤡
恒例により、この欠陥はInsider Preview Canaryビルドでは発生しません。これはMicrosoftが密かにパッチを適用したことを示唆しています。しかし、安定版のユーザーは置き去りにされています。つまり、安全を確保したいなら、テストビルドをインストールしてシステムが壊れないことを祈るしかありません。その間、エクスプロイトは何事もなかったかのように動作し続けます。