Представьте ситуацию: системный администратор развернул в сети полностью обновленные рабочие станции на базе Windows 11. Все патчи мая 2026 года установлены, антивирусы активны, а права пользователей строго ограничены. Однако достаточно одного запуска специально подготовленного исполняемого файла, чтобы обычная учетная запись за считанные секунды превратилась в полноценный системный аккаунт с неограниченным доступом к ядру ОС. Этот сценарий стал реальностью после публикации эксплойта MiniPlasma.
Проблема MiniPlasma заключается не просто в наличии дыры в безопасности, а в системном сбое процесса исправления ошибок. Речь идет о драйвере облачного фильтра cldflt.sys и его подпрограмме HsmOsBlockPlaceholderAccess. О данной уязвимости еще в сентябре 2020 года сообщал исследователь из Google Project Zero, и она была официально закрыта под идентификатором CVE-2020-17103. Спустя почти шесть лет выяснилось, что патч либо не работал должным образом, либо был незаметно отменен в ходе последующих обновлений системы.
Техническая суть эксплойта кроется в некорректной обработке создания ключей реестра. Злоумышленник использует недокументированный API CfAbortHydration, что позволяет создавать произвольные записи в пользовательском разделе .DEFAULT без надлежащей проверки прав доступа. В результате этого несоответствия происходит повышение привилегий до уровня SYSTEM, что фактически означает полный захват контроля над операционной системой.
Критическая опасность MiniPlasma подтверждена независимыми тестами, в том числе специалистами BleepingComputer. Эксплойт успешно сработал на актуальных сборках Windows 11 Pro, обновленных в мае 2026 года, что доказывает неэффективность стандартного цикла обновлений в данном конкретном случае.
Данный инцидент нельзя рассматривать в изоляции. MiniPlasma стала частью масштабной кампании по дестабилизации безопасности Windows, инициированной исследователем под псевдонимом Chaotic Eclipse. За последние несколько месяцев мы увидели серию публикаций, включая:
- BlueHammer (CVE-2026-33825) — локальное повышение привилегий;
- RedSun — уязвимость, которую Microsoft исправила скрытно, не присвоив ей CVE;
- UnDefend — инструмент для проведения DoS-атак на Windows Defender;
- YellowKey — метод обхода BitLocker для систем с TPM в Windows 11 и Server 2022/2025;
- GreenPlasma — еще один эксплойт для захвата контроля над системой.
Анализируя мотивы публикаций, можно заметить, что за техническими деталями скрывается глубокий конфликт между независимыми исследователями и корпорацией. Публичное раскрытие zero-day уязвимостей в обход стандартных процедур стало формой протеста против политики Bug Bounty и методов взаимодействия Microsoft с сообществом. Это создает опасный прецедент: когда механизмы «скоординированного раскрытия» перестают работать из-за личных или корпоративных трений, конечным пострадавшим становится пользователь.
Единственным «безопасным» островом на данный момент остаются сборки Windows 11 Insider Preview Canary, где эксплойт MiniPlasma не функционирует. Это дает надежду на то, что реальное исправление уже находится в разработке и скоро будет интегрировано в основные ветки обновлений.
В текущих условиях полагаться исключительно на статус «система обновлена» рискованно. Рекомендуется усилить мониторинг подозрительных изменений в реестре, особенно в разделе .DEFAULT, и ограничить запуск сторонних исполняемых файлов из недоверенных источников. Главный вывод из истории MiniPlasma заключается в том, что даже официально «исправленная» уязвимость может оставаться миной замедленного действия, если верификация патча не была проведена глубоко и всесторонне.
