Microsoft hat im Dezember 2020 einen Windows-Bug gepatcht. Sechs Jahre später funktioniert der Original-Exploit-Code des Google-Project-Zero-Researchers James Forshaw immer noch und gibt jedem lokalen Angreifer auf einem voll gepatchten Windows 11 SYSTEM-Privilegien.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Dumm gelaufen: Sie geben drei Millionen Euro im Jahr für Patch-Management aus, und am Ende reicht ein C++-Schnipsel von 2020, um die Konzern-Workstations zu übernehmen. Das ist die Geschichte hinter MiniPlasma, am 13. Mai 2026 auf GitHub veröffentlicht und von Microsoft seitdem nicht offiziell kommentiert.
Das Wichtigste in Kürze
- MiniPlasma reaktiviert den 2020 angeblich gepatchten CVE-2020-17103 im Cloud-Filter-Treiber cldflt.sys
- Der Exploit funktioniert nachweislich auf Windows 11 mit dem Mai-2026-Patch-Tuesday-Stand
- Sechs Zero-Days in sechs Wochen vom selben Forscher, drei davon bereits in laufenden Angriffen
- Die Barracuda-Threat-Intelligence stuft den Forscher als „malicious actor“ mit Russland-Bezug ein
Wie funktioniert der MiniPlasma-Exploit?
Der Bug sitzt in cldflt.sys, dem Windows Cloud Files Mini Filter Driver. Über die undokumentierte API CfAbortHydration lassen sich Registry-Schlüssel im DEFAULT-User-Hive anlegen, ohne dass die normalen Zugriffsprüfungen greifen. Das Resultat: eine cmd.exe-Sitzung mit SYSTEM-Privilegien, gestartet aus einem unprivilegierten Benutzerkonto. Will Dormann, Principal Vulnerability Analyst bei Tharros, hat den Exploit unabhängig nachvollzogen. Auf der aktuellen Windows-11-Veröffentlichung läuft der Angriff zuverlässig.
Bemerkenswert ist nicht die Lücke, sondern die Historie. James Forshaw von Google Project Zero meldete die Schwachstelle im September 2020 an Microsoft. Drei Monate später bestätigte Microsoft die Behebung als CVE-2020-17103. Chaotic Eclipse stellt jetzt fest: Der Original-Proof-of-Concept aus 2020 funktioniert ohne jede Anpassung. Entweder hat Microsoft den Bug nie gepatcht, oder die Korrektur wurde irgendwann stillschweigend zurückgenommen.
Was treibt Nightmare-Eclipse an?
Hinter den Aliassen „Chaotic Eclipse“, „Nightmare-Eclipse“ und „Dead Eclipse“ steht eine einzelne Person, die seit dem 3. April 2026 sechs Exploit-Tools veröffentlicht hat: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und nun MiniPlasma. Drei davon hat das Threat-Intelligence-Team von Huntress Labs bereits in aktiven Angriffen dokumentiert, mit Hinweisen auf russland-geolocatete Infrastruktur. Die aktuelle Barracuda-Threat-Intelligence-Analyse stuft den Forscher offiziell als „malicious actor“ ein.
Sechs Zero-Days von einer einzelnen Person in sechs Wochen sind kein Patch-Problem mehr, sondern ein strukturelles Versagen der Coordinated Vulnerability Disclosure. Beim Software-Einkauf gehört der Disclosure-Track-Record ab heute auf die KO-Liste.
— Michael Dobler, Herausgeber Dr. Web
Auf seinem Blog beschreibt Eclipse einen persönlichen Konflikt mit Microsoft. Zitiert wird dort der Satz, „jemand habe die Vereinbarung gebrochen und ihn obdachlos zurückgelassen“. Die These einer Ex-Microsoft-Verbindung lässt sich nicht verifizieren, der Detailgrad in den Exploits deutet aber auf Insider-Wissen hin. Zusätzlich angedroht ist ein „dead man’s switch“, der bei einer Verhaftung weitere Exploits automatisch freigeben würde.
Was müssen IT-Verantwortliche jetzt tun?
Patchen geht aktuell nicht. Microsoft hat MiniPlasma nicht offiziell bestätigt und keinen Workaround veröffentlicht. Drei Sofort-Maßnahmen reduzieren die Angriffsfläche dennoch. EDR-Regeln auf cldflt.sys-Anomalien schärfen, lokale Admin-Rechte radikal zurückbauen und BitLocker mit Pre-Boot-PIN absichern, weil der parallele YellowKey-Exploit TPM-only-Konfigurationen kompromittiert. Die Cybersecurity-Grundlagen für KMU liefern den Ablauf für ein strukturiertes Notfall-Patch-Management.
Strategisch wichtiger ist die Lieferketten-Frage. Mit dem Cyber Resilience Act ab 11. September 2026 wird die 24-Stunden-Schwachstellen-Meldung an ENISA Pflicht. Hersteller, die Bugs sechs Jahre offen lassen, fallen ab Herbst aus dem EU-Markt. Microsoft selbst fällt nicht unter den CRA, prägt aber das Beschaffungsverhalten europäischer Mittelständler. Bis zum nächsten Patch-Tuesday am 10. Juni 2026 bleibt jedes Windows-11-System mit Standard-Mitarbeiterzugängen ein potenzielles Einfallstor.
Mehr #Microsoft News
Mehr Newshunger?
