Windows sistemlərində “MiniPlasma” zero-day boşluğu aşkarlanıb

Windows sistemlərində “MiniPlasma” adlandırılan yeni “zero-day” imtiyaz yüksəltmə (privilege escalation) boşluğu aşkarlanıb. Ictimaiyyətə yayımlanan “proof-of-concept” (PoC) istismar kodu vasitəsilə tam yenilənmiş Windows sistemlərində SYSTEM səviyyəli səlahiyyətlərin əldə olunmasının mümkün olduğu bildirilir.

Qeyd olunur ki, zəiflik Windows əməliyyat sistemində istifadə olunan “cldflt.sys” Cloud Filter sürücüsünün “HsmOsBlockPlaceholderAccess” rutinində aşkarlanıb. Problemin ilkin olaraq 2020-ci ilin sentyabr ayında Microsoft-a bildirildiyi qeyd edilir. Həmin dövrdə boşluğa CVE-2020-17103 identifikatoru təyin edilmiş və 2020-ci ilin dekabr ayında yayımlanan “Patch Tuesday” yeniləmələri çərçivəsində aradan qaldırıldığı açıqlanmışdı.

Aparılan araşdırmalar nəticəsində müəyyən olunub ki, Microsoft ya problemi tam aradan qaldırmayıb, ya da tətbiq edilmiş təhlükəsizlik düzəlişi sonradan naməlum səbəblərdən geri qaytarılıb. Məlumata görə, ilkin hazırlanmış PoC kodu heç bir dəyişiklik edilmədən işlək vəziyyətdə qalıb.

İstismar mexanizmi Windows Cloud Filter sürücüsündə sənədləşdirilməmiş “CfAbortHydration” API-si vasitəsilə reyestr açarlarının yaradılması prosesindəki idarəetmə boşluğundan sui-istifadə edir. İlkin texniki hesabatda qeyd olunurdu ki, zəiflik lazımi giriş yoxlamaları olmadan “.DEFAULT” istifadəçi bölməsində ixtiyari reyestr açarlarının yaradılmasına imkan verir ki, bu da imtiyaz yüksəltmə hücumlarına şərait yarada bilər.

“MiniPlasma” son həftələr ərzində açıqlanan bir sıra Windows sıfır-gün (zero-day) zəifliklərinin davamı hesab olunur. Aprel ayında açıqlanan və CVE-2026-33825 identifikatoru ilə izlənilən “BlueHammer” imtiyaz yüksəltmə boşluğu, “RedSun” adlı digər zəiflik və Windows Defender xidmətinin fəaliyyətini pozmağa yönəlmiş “UnDefend” aləti də ictimaiyyətə təqdim edilmişdi. 

Bundan əlavə, bu ay “YellowKey” və “GreenPlasma” adlı digər istismar vasitələrinin də yayımlandığı qeyd olunur. “YellowKey” Windows 11 və Windows Server 2022/2025 sistemlərində TPM əsaslı BitLocker konfiqurasiyalarını hədəf alan yan keçmə (bypass) mexanizmi kimi təsvir edilir və şifrəsi açılmış disklərə komanda sətri vasitəsilə giriş əldə etməyə imkan yaradır.

Microsoft koordinasiyalı zəiflik açıqlaması (coordinated vulnerability disclosure) prosesini dəstəklədiyini və təqdim edilən təhlükəsizlik hesabatlarını araşdırmağa davam etdiyini bildirmişdi.