BleepingComputer проверил, что эксплойт MiniPlasma работает в Windows 11 Pro с обновлениями мая 2026 года. Обычный пользователь может открыть командную строку с правами SYSTEM. Аналитик Уилл Дорманн повторил результат, но заметил, что ошибка не воспроизводится в сборке Insider Preview Canary. Атака использует драйвер cldflt.sys.
Как драйвер cldflt.sys позволяет повышать привилегии 🛡️
Эксплойт использует возможности драйвера cldflt.sys для управления ключами реестра через недокументированный API. Это позволяет создавать произвольные ключи без проверки разрешений. Манипулируя этими ключами, злоумышленник может повысить привилегии в операционной системе. Отсутствие контроля над определенными путями реестра облегчает переход от обычной учетной записи к SYSTEM. Microsoft еще не выпустила официальный патч.
Microsoft исправляет ошибку, но только в ветке, которую никто не использует 🤡
Как обычно, ошибка не проявляется в сборке Insider Preview Canary, что позволяет предположить, что Microsoft уже тайно исправила ее. Но пользователи стабильной версии остаются с шуткой. То есть: если хочешь быть в безопасности, установи тестовую сборку и молись, чтобы система не сломалась. Тем временем эксплойт продолжает работать как ни в чем не бывало.