Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lỗ hổng zero-day MiniPlasma cho phép chiếm quyền SYSTEM trên các hệ thống Windows

Updated
5 min read
Lỗ hổng zero-day MiniPlasma cho phép chiếm quyền SYSTEM trên các hệ thống Windows
M
Mai Đức Nam Anh

Tháng 5 năm 2026, tiếp tục chuỗi công bố các lỗ hổng zero-day nguy hiểm trên Windows, nhà nghiên cứu bảo mật ẩn danh Chaotic Eclipse đã công bố công khai một proof-of-concept (PoC) cho lỗ hổng mới có tên "MiniPlasma", cho phép kẻ tấn công leo thang đặc quyền lên mức SYSTEM ngay cả trên các hệ thống đã được vá đầy đủ với bản cập nhật Patch Tuesday tháng 5/2026 của Microsoft. Đáng chú ý, lỗ hổng này thực chất là sự tái xuất của một lỗ hổng đã vá từ năm 2020, đặt ra sự hoài nghi lớn trong quy trình vá lỗi của Microsoft.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2020-17103

  • Điểm CVSS (3.1): 7.8

  • Mức độ nghiêm trọng: HIGH - Nghiêm trọng cao

  • Mô tả: Lỗ hổng leo thang đặc quyền tồn tại trong hàm HsmOsBlockPlaceholderAccess của driver cldflt.sys (Windows Cloud Files Mini Filter Driver). Kẻ tấn công có thể lợi dụng lỗi race condition trong hàm này để tạo các registry key tùy ý trong hive .DEFAULT của người dùng mà không bị kiểm soát truy cập, từ đó leo thang đặc quyền lên mức SYSTEM.

  • Phiên bản bị ảnh hưởng: Toàn bộ các phiên bản Windows hiện hành, bao gồm Windows 11 và Windows Server 2025 đã cập nhật bản vá tháng 5/2026.

cldflt.sys hay Windows Cloud Files Mini Filter Driver là một thành phần cốt lõi của Windows, đóng vai trò là lớp trung gian giữa hệ điều hành và các dịch vụ lưu trữ đám mây như OneDrive. Driver này cho phép Windows quản lý các tệp "placeholder" (các tệp được liệt kê trong File Explorer nhưng thực tế chưa được tải về từ đám mây) thông qua cơ chế đồng bộ hóa trong suốt với người dùng.

Do hoạt động ở tầng kernel với quyền ưu tiên cao, mọi lỗ hổng trong cldflt.sys đều tiềm ẩn rủi ro leo thang đặc quyền nghiêm trọng. Lỗ hổng tại hàm HsmOsBlockPlaceholderAccess nằm ở việc hàm này không chỉ định flag OBJ_FORCE_ACCESS_CHECK khi tạo registry key, dẫn đến việc bỏ qua các kiểm tra quyền truy cập thông thường.

MiniPlasma trước đó đã được nhà nghiên cứu James Forshaw của Google Project Zero lần đầu báo cáo cho Microsoft vào tháng 9/2020. Ngay lập tức Microsoft đã phát hành bản vá cho CVE-2020-17103 trong bản Patch Tuesday tháng 12/2020. Tuy nhiên, vừa qua nhà nghiên cứu bảo mật ẩn danh với tên Chaotic Eclipse phát hiện ra rằng, vấn đề kỹ thuật gốc vẫn còn tồn tại nguyên vẹn, đoạn mã khai thác POC gốc của Google Project Zero vẫn có thể hoạt động mà không cần bất kỳ chỉnh sửa nào.

Về cơ chế khai thác, đây là một lỗi race condition. Kẻ tấn công tập trung khai thác vào khoảng thời gian không đồng bộ giữa hai thao tác diễn ra trên hệ thống, qua đó ghi các registry key tùy ý vào hive .DEFAULT vốn chỉ dành cho tài khoản SYSTEM mà không bị ngăn chặn bởi cơ chế kiểm soát truy cập.

Hệ quả là một tài khoản người dùng thông thường (unprivileged user), sau khi khai thác thành công lỗ hổng cũng có thể mở cửa sổ command prompt với đặc quyền SYSTEM đầy đủ.

Theo tờ báo an ninh mạng nổi tiếng BleepingComputer và nhà nghiên cứu bảo mật Will Dormann xác nhận, các mã khai thác trong POC được công bố trước đó vẫn có thể hoạt động kể cả trên Windows 11 với bản vá mới nhất phát hành vào tháng 5/2026.

Ngoài ra, MiniPlasma cũng là lỗ hổng mới nhất trong chuỗi các lỗ hổng zero-day Windows được Chaotic Eclipse công bố công khai thời gian vừa qua, sau BlueHammer (CVE-2026-33825), RedSun, và UnDefend. Cả ba lỗ hổng này đều đã có những ghi nhận dấu hiệu khai thác trên thực tế sau khi được tiết lộ công khai rộng rãi trên không gian mạng.

Khắc phục & Khuyến nghị

Tính đến thời điểm hiện tại, phía hãng Microsoft chưa có bất kỳ động thái nào cho thấy họ sẽ phát hành bản vá chính thức cho MiniPlasma, đồng thời cũng chưa có bất kỳ workaround nào được công bố.

Việc lỗ hổng này được tiết lộ công khai phương thức khai thác trên không gian mạng làm gia tăng đáng kể nguy cơ với các hệ thống quan trọng hơn bao giờ hết. Đội ngũ FPT Threat Intelligence khuyến nghị người dùng và các quản trị viên hệ thống cần:

  • Theo dõi cập nhật từ Microsoft: Chủ động theo dõi các bản vá khẩn cấp (out-of-band patch) từ Microsoft Security Response Center (MSRC) và triển khai ngay khi có bản vá chính thức.

  • Giám sát registry key bất thường: Người dùng và quản trị viên hệ thống nên cấu hình EDR để theo dõi các thay đổi tại hai registry key sau:

    • \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps*

    • \Registry\User\.DEFAULT\Volatile Environment* – đây là các dấu hiệu có thể chỉ ra hành vi khai thác MiniPlasma.

  • Áp dụng quy tắc đặc quyền tối thiểu: Hạn chế tối đa số lượng tài khoản người dùng có quyền đăng nhập cục bộ vào các hệ thống nhạy cảm, đặc biệt là máy chủ và workstation xử lý dữ liệu quan trọng.

  • Tăng cường giám sát 24/7: Triển khai các rule phát hiện hành vi bất thường, nghi ngờ leo thang đặc quyền liên quan đến tiến trình con của cldflt.sys hoặc các tiến trình đột ngột chạy với quyền SYSTEM từ tài khoản người dùng thông thường.

Tham khảo

  1. Github Chaotic Eclipse
#threat-intelligence#miniplasma#windows

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

801 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.