Windows 11 знову під ударом: хакер опублікував інструмент, який дає повний контроль над ПК
У спільноті кібербезпеки спалахнув новий скандал навколо Microsoft. Дослідник, відомий під псевдонімами Chaotic Eclipse та Nightmare Eclipse, виклав у відкритий доступ експлойт MiniPlasma, який дозволяє отримати максимальні системні привілеї на комп’ютерах із Windows 11.
За словами автора, інструмент працює навіть на актуальних версіях операційної системи з усіма встановленими оновленнями безпеки. Фактично мова йде про можливість перейти зі звичайного користувацького облікового запису до рівня SYSTEM — найвищого рівня доступу в Windows.
Що таке MiniPlasma і чому це небезпечно
MiniPlasma використовує проблему в драйвері cldflt.sys, який є частиною механізму Windows Cloud Filter. Саме цей компонент відповідає за роботу хмарної синхронізації файлів у системі.
Дослідник заявляє, що вразливість пов’язана з підпрограмою HsmOsBlockPlaceholderAccess. Через помилку в обробці системних запитів зловмисник може обійти перевірки доступу та створювати ключі реєстру з підвищеними правами.
Журналісти видання BleepingComputer протестували експлойт на Windows 11 Pro з останніми оновленнями та підтвердили його працездатність. Після запуску MiniPlasma система відкривала командний рядок із правами SYSTEM, що фактично означає повний контроль над комп’ютером.
Подібний рівень доступу дозволяє:
- встановлювати приховане шкідливе ПЗ;
- отримувати доступ до всіх файлів користувача;
- відключати захисні механізми Windows;
- перехоплювати паролі та конфіденційні дані;
- створювати приховані облікові записи адміністратора.
Проблему виявили ще кілька років тому
Особливе занепокоєння викликає той факт, що ця вразливість не є новою. Її ще у вересні 2020 року виявив дослідник Джеймс Форшоу з Google Project Zero.
Тоді проблема отримала ідентифікатор CVE-2020-17103, а Microsoft заявила про її виправлення у грудневому оновленні безпеки того ж року.
Втім, Chaotic Eclipse стверджує, що вразливість фактично нікуди не зникла. За його словами, старий експлойт від Google досі працює практично без змін навіть у сучасних збірках Windows 11.
Аналітик із безпеки Уілл Дорманн із Tharros також підтвердив, що проблема відтворюється в актуальній публічній версії Windows 11. Водночас у тестових збірках Canary експлойт уже не працює, що може свідчити про приховане виправлення в майбутніх оновленнях.
Чому історія викликала такий резонанс
Ситуація привернула особливу увагу через мотивацію самого дослідника. Chaotic Eclipse прямо заявив, що його дії пов’язані з особистим конфліктом із Microsoft та незадоволенням процесом обробки повідомлень про вразливості.
За останні місяці він уже опублікував кілька інших небезпечних експлойтів для Windows, серед яких BlueHammer, RedSun, UnDefend, YellowKey та GreenPlasma. Частину з них фахівці вже помічали у реальних кібератаках.
У сфері кібербезпеки звертають увагу, що публічне розкриття подібних інструментів значно підвищує ризики для звичайних користувачів. Після появи готового експлойту ним можуть скористатися не лише професійні хакери, а й менш досвідчені зловмисники.
Що радять фахівці власникам Windows 11
Експерти з інформаційної безпеки рекомендують користувачам Windows 11 не ігнорувати базові правила цифрової гігієни, навіть якщо офіційний патч поки відсутній.
Насамперед радять:
- встановлювати всі нові оновлення Windows одразу після їх виходу;
- не запускати підозрілі файли та скрипти;
- використовувати обліковий запис без прав адміністратора для повсякденної роботи;
- активувати захист Microsoft Defender та контроль програм;
- стежити за новими повідомленнями щодо CVE-2020-17103.
Фахівці також зазначають, що подібні локальні експлойти особливо небезпечні в корпоративному середовищі. Якщо атакувальник уже отримав початковий доступ до комп’ютера співробітника через фішинг або заражений файл, MiniPlasma може стати наступним кроком для повного захоплення системи.
Сама Microsoft наразі офіційно не коментує ситуацію навколо MiniPlasma та не повідомляє, коли саме може з’явитися оновлення безпеки для усунення проблеми.
Источник: ilenta.com