BleepingComputer는 MiniPlasma 익스플로잇이 2026년 5월 업데이트가 적용된 Windows 11 Pro에서 작동하는 것을 확인했습니다. 일반 사용자가 SYSTEM 권한으로 명령 프롬프트를 열 수 있습니다. 분석가 Will Dormann이 결과를 재현했지만, Insider Preview Canary 빌드에서는 오류가 재현되지 않는다는 점을 발견했습니다. 공격은 cldflt.sys 드라이버를 사용합니다.
cldflt.sys 드라이버가 권한 상승을 가능하게 하는 방법 🛡️
익스플로잇은 문서화되지 않은 API를 통해 레지스트리 키를 처리하기 위해 cldflt.sys 드라이버의 기능을 활용합니다. 이를 통해 권한 확인 없이 임의의 키를 생성할 수 있습니다. 이러한 키를 조작함으로써 공격자는 운영 체제에서 권한을 상승시킬 수 있습니다. 레지스트리의 특정 경로에 대한 제어가 없기 때문에 일반 계정에서 SYSTEM으로의 전환이 용이해집니다. Microsoft는 아직 공식 패치를 발표하지 않았습니다.
Microsoft, 아무도 사용하지 않는 브랜치에서만 버그 수정 🤡
전통적으로 이 오류는 Insider Preview Canary 빌드에서는 나타나지 않으며, 이는 Microsoft가 이미 비밀리에 패치했음을 시사합니다. 하지만 안정 버전 사용자는 그냥 웃고 넘어가야 합니다. 즉, 안전을 원한다면 테스트 빌드를 설치하고 시스템이 망가지지 않기를 기도해야 한다는 뜻입니다. 그동안 익스플로잇은 아무 일도 없었다는 듯 계속 작동합니다.