Новая 0-day MiniPlasma в Windows выдаёт SYSTEM даже после свежих патчей

Новая 0-day MiniPlasma в Windows выдаёт SYSTEM даже после свежих патчей

Новая 0-day MiniPlasma в Windows выдаёт SYSTEM даже после свежих патчей

Исследователь под ником Chaotic Eclipse, он же Nightmare Eclipse, выложил демонстрационный эксплойт (proof-of-concept) для новой 0-day уязвимости в Windows под названием MiniPlasma. Эксплойт позволяет локальному пользователю получить права SYSTEM даже на полностью обновлённой Windows 11 с майскими патчами 2026 года.

По данным BleepingComputer, опубликованы и исходный код, и готовый исполняемый файл.

Журналисты проверили PoC на актуальной Windows 11 Pro после майского набора патчей и получили командную строку с правами SYSTEM из-под обычной учётной записи. Работоспособность эксплойта также подтвердил аналитик Уилл Дорманн, хотя на свежей тестовой сборке Windows 11 Insider Preview баг, по его словам, уже не воспроизводится.

MiniPlasma, по словам автора, завязан на старую уязвимость в драйвере cldflt.sys — Windows Cloud Filter. Её ещё в 2020 году нашёл исследователь Google Project Zero Джеймс Форшоу, после чего Microsoft присвоила проблеме идентификатор CVE-2020-17103 и якобы закрыла её декабрьским обновлением. Но Chaotic Eclipse утверждает, что тот же самый баг всё ещё жив: то ли его так и не исправили, то ли патч где-то по дороге сломался.

Технически история крутится вокруг обработки создания ключей реестра через недокументированный API CfAbortHydration. В старом отчёте Project Zero указывалось, что проблема позволяет создавать произвольные ключи в пользовательском кусте .DEFAULT без нормальных проверок доступа. На практике это превращается в локальное повышение привилегий: обычный пользователь нажимает кнопку, а на выходе получает SYSTEM.

За последние недели тот же исследователь уже публиковал другие Windows-эксплойты: BlueHammer, RedSun, инструмент UnDefend, а также YellowKey и GreenPlasma.

Пока официального патча для MiniPlasma нет. Microsoft пока молчит, а администраторам остаётся следить за обновлениями.

Telegram внезапно попросил Premium за цитаты — но, похоже, это баг

В Telegram у части пользователей появилась странная плашка: при попытке оформить цитату мессенджер предлагает оформить подписку Premium. Формально платными в Telegram действительно могут быть некоторые возможности расширенного форматирования и Markdown.

На проблему обратил внимание телеграм-канал «Код Дурова». Но обычные цитаты к премиальным функциям относиться не должны.

Поэтому новая плашка выглядит не как очередная монетизация всего живого, а скорее как техническая ошибка.

 

 

Тем более ограничение уже удалось обойти. Достаточно нажать «Сбросить и отправить» — Send Without Formatting. После этого предупреждение исчезает, а сама цитата в сообщении остаётся.

То есть Telegram пока как будто говорит: «Хотите цитату — платите». Но если нажать соседнюю кнопку, выясняется, что платить всё-таки не обязательно.

Вероятнее всего, речь идёт о баге интерфейса или проверки форматирования, который исправят в одном из следующих обновлений. Официальных пояснений от Telegram на момент публикации нет.

Пока же пользователям доступен простой обходной путь: сбросить форматирование перед отправкой и сохранить цитату без Premium. Монетизация не удалась, по крайней мере, в этот раз.

RSS: Новости на портале Anti-Malware.ru