Microsoft не заплатила — Microsoft получила пять эксплойтов. Хронология двухмесячной мести исследователя Chaotic Eclipse

В Windows нашли новый способ поднять права до SYSTEM даже на полностью обновлённой системе. Исследователь под псевдонимом Chaotic Eclipse, также известный как Nightmare Eclipse, опубликовал на GitHub исходный код и готовый исполняемый файл эксплойта MiniPlasma, который использует ошибку в драйвере Cloud Filter.

По словам исследователя, уязвимость связана с драйвером cldflt.sys и процедурой HsmOsBlockPlaceholderAccess. Ту же проблему ещё в сентябре 2020 года описал исследователь Google Project Zero Джеймс Форшоу. Microsoft присвоила багу идентификатор CVE-2020-17103 и отчиталась об исправлении в декабрьском наборе обновлений 2020 года.

Chaotic Eclipse утверждает, что ошибка до сих пор присутствует в Windows. Исследователь заявил, что старый PoC-код (демонстрационный эксплойт) от Google Project Zero сработал без изменений, а значит Microsoft либо не закрыла проблему корректно, либо позже откатила исправление по неизвестной причине.

Мы проверили MiniPlasma на полностью обновлённой Windows 11 Pro с майскими патчами 2026 года. Тест запускали из обычной пользовательской учётной записи, после чего эксплойт открыл командную строку с привилегиями SYSTEM. Аналитик уязвимостей Tharros Уилл Дорман также подтвердил работоспособность эксплойта на последней публичной версии Windows 11, но отметил, что в свежей инсайдерской сборке Windows 11 Canary проблема уже не воспроизводится.

Судя по описанию, MiniPlasma злоупотребляет тем, как драйвер Windows Cloud Filter обрабатывает создание ключей реестра через недокументированный API (программный интерфейс) CfAbortHydration. В первоначальном отчёте Google Project Zero говорилось, что ошибка позволяет создавать произвольные ключи реестра в пользовательской ветке .DEFAULT без должной проверки прав доступа. При удачном использовании такой дефект открывает путь к повышению привилегий.

MiniPlasma стал очередным эксплойтом Windows, который Chaotic Eclipse опубликовал за последние недели. В апреле исследователь раскрыл BlueHammer — локальную уязвимость повышения привилегий CVE-2026-33825, затем RedSun, ещё один дефект повышения прав, и UnDefend — инструмент для DoS-атаки (атаки типа «отказ в обслуживании») на Windows Defender. После публикации все три проблемы заметили в реальных атаках. Сам исследователь утверждает, что Microsoft молча исправила RedSun без присвоения CVE.

В мае Chaotic Eclipse также выпустил YellowKey и GreenPlasma. YellowKey описан как обход BitLocker в Windows 11 и Windows Server 2022/2025. Инструмент запускает командную оболочку и даёт доступ к разблокированным дискам, если BitLocker настроен только на TPM (доверенный платформенный модуль) без дополнительной защиты.

Chaotic Eclipse объясняет публичные раскрытия конфликтом с Microsoft и недовольством программой вознаграждений за уязвимости, а также процессом обработки сообщений об уязвимостях. Microsoft ранее заявляла, что поддерживает координированное раскрытие уязвимостей, проверяет сообщения о проблемах безопасности и защищает клиентов через обновления.