Forscher eskaliert: Gefährlicher Zero-Day-Exploit für Windows geleakt
Eine gefährliche Sicherheitslücke in einem Windows-Treiber, die eigentlich seit Ende 2020 gepatcht sein sollte, ist es offenbar doch nicht. Der unter dem Namen Chaotic Eclipse bekannte Sicherheitsforscher, der zuletzt mehrere ungepatchte Lücken in Windows aufgedeckt hatte, hat dafür einen neuen Exploit veröffentlicht(öffnet im neuen Fenster). Angreifer sollen damit unter Windows Systemrechte erlangen können.
Der Exploit trägt den Namen Miniplasma(öffnet im neuen Fenster). Chaotic Eclipse hat ihn nach eigenen Angaben unter Windows 11 und Windows Server 2025 getestet. In beiden Fällen soll er trotz aktuellen Patch-Standes funktionieren und eine Shell mit Systemrechten starten. Der Forscher geht davon aus, dass alle Windows-Versionen betroffen sind.
Auch der Sicherheitsforscher Will Dormann bestätigte auf Mastodon(öffnet im neuen Fenster), den Miniplasma-Exploit trotz installierter Mai-Updates unter Windows 11 (25H2 und 26H1) erfolgreich getestet zu haben. Als Beleg lieferte er mehrere Screenshots von den Ausgaben des Exploits sowie der jeweils mit den Rechten des Nutzers "System" ausgestatteten Eingabeaufforderung.
Alter Exploit funktioniert wieder – oder noch?
Bei der ausgenutzten Sicherheitslücke handelt es sich laut Chaotic Eclipse um CVE-2020-17103(öffnet im neuen Fenster), ursprünglich entdeckt von einem Google-Forscher namens James Forshaw(öffnet im neuen Fenster). Die Ursache liegt wohl in der Art und Weise, wie der Windows Cloud Files Mini Filter Driver die Erstellung bestimmter Registrierungsschlüssel abwickelt. Angreifer mit lokalem Zugriff auf ein anfälliges System können damit ihre Rechte ausweiten.
Wie schon die CVE-ID vermuten lässt, sollte CVE-2020-17103 eigentlich Ende 2020 gepatcht worden sein. Doch wie Chaotic Eclipse bei eigenen Untersuchungen festgestellt hat, funktioniert der einst von Google bereitgestellte Exploit immer noch. "Ich bin mir nicht sicher, ob Microsoft das Problem einfach nie behoben hat oder ob der Patch irgendwann aus unbekannten Gründen stillschweigend zurückgenommen wurde", so der Forscher.
Miniplasma basiert den Angaben zufolge auf dem ursprünglichen Google-Exploit und wurde lediglich etwas angepasst, um eine System-Shell zu starten. Die Erfolgsquote könne jedoch variieren, da der Exploit auf einer Race Condition basiere, erklärte Chaotic Eclipse. Wenn ein Angreifer genug Zeit habe, sei das jedoch in der Regel keine große Hürde, da die Ausführung des Exploits dann einfach beliebig oft wiederholt werden könne, bis er funktioniert.
Forscher eskaliert nach Zoff mit Microsoft
Chaotic Eclipse deckte unter anderem mit Bluehammer, Redsun, Yellowkey und Greenplasma in den letzten Wochen bereits mehrere Zero-Day-Lücken in verschiedenen Windows-Komponenten auf, bevor Microsoft diese patchen konnte. Der Forscher begründete sein Vorgehen immer wieder mit der Art und Weise, wie Microsoft zuvor beim verantwortungsvollen Melden von Lücken mit ihm umgegangen war.
Details dazu, was genau vorgefallen ist, nannte Chaotic Eclipse bisher nicht. Im Hinblick auf den nächsten Patchday kündigte er aber zuletzt "eine große Überraschung" für Microsoft an. Es dürften also in den nächsten Wochen noch weitere Zero-Day-Exploits folgen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.