- 27,283
- 46
- 8 Ноя 2022
Хакеры уже сейчас взламывают Windows через MiniPlasma.
В Windows нашли опасную уязвимость MiniPlasma, которая уже используется в реальных атаках. Проблема позволяет злоумышленнику получить в системе права уровня SYSTEM, то есть фактически полный контроль над компьютером. Microsoft выпустит исправление 9 июня.
Об уязвимости рассказала Лаборатория Касперского. За последние два месяца анонимный специалист Nightmare Eclipse , также известный как Chaotic Eclipse, публично раскрыл шесть уязвимостей Windows и сразу опубликовал готовые программы для их эксплуатации. Microsoft заранее не получила информацию о проблемах, поэтому у компании не было времени подготовить исправления до публикации.
Самой опасной из раскрытых уязвимостей стала MiniPlasma . Она связана со старой проблемой CVE-2020-17103 (CVSS2.0/AV:L/AC:L/Au:N/C:C/I:C/A:C — 7.2 (High), которую считали закрытой ещё в 2020 году. Однако полностью обновлённые системы Windows 11, а также Windows Server 2022 и Windows Server 2025 по-прежнему уязвимы для такого способа атаки.
Как и CVE-2020-17103, новая проблема затрагивает драйвер Cloud Filter и процедуру HsmOsBlockPlaceholderAccess. Атака относится к локальному повышению привилегий . Злоумышленнику сначала нужен доступ к системе, но после успешной эксплуатации MiniPlasma он может перейти на максимальный уровень прав. Реальные атаки с использованием MiniPlasma наблюдаются с 10 апреля. Опубликованный демонстрационный код повышает риск новых атак, поскольку воспользоваться уязвимостью могут не только продвинутые группы, но и менее подготовленные злоумышленники.
Лаборатория Касперского описала признаки, по которым можно выявить попытки эксплуатации MiniPlasma: в разделе реестра HKU.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps создаются символические ссылки, файл wermgr.exe появляется вне стандартных системных каталогов, а системные файлы или их имитации запускаются из нетипичных папок. Дополнительный признак – библиотека NtApiDotNet: в демонстрационном коде она применялась для работы с низкоуровневыми функциями реестра Windows.
Отдельное внимание советуют уделить тому, как изменяется ключ реестра CloudFiles\BlockedApps, запускается задача \Microsoft\Windows\Windows Error Reporting\QueueReporting, появляется wermgr.exe вне папок C:\Windows\System32 и C:\Windows\SysWOW64, а также процессам, которые запускаются через wermgr.exe.
До выхода исправления администраторам стоит внимательно отслеживать подозрительные изменения в реестре, нестандартный запуск системных файлов и необычную активность службы отчётов об ошибках Windows.
В Windows нашли опасную уязвимость MiniPlasma, которая уже используется в реальных атаках. Проблема позволяет злоумышленнику получить в системе права уровня SYSTEM, то есть фактически полный контроль над компьютером. Microsoft выпустит исправление 9 июня.
Об уязвимости рассказала Лаборатория Касперского. За последние два месяца анонимный специалист Nightmare Eclipse , также известный как Chaotic Eclipse, публично раскрыл шесть уязвимостей Windows и сразу опубликовал готовые программы для их эксплуатации. Microsoft заранее не получила информацию о проблемах, поэтому у компании не было времени подготовить исправления до публикации.
Самой опасной из раскрытых уязвимостей стала MiniPlasma . Она связана со старой проблемой CVE-2020-17103 (CVSS2.0/AV:L/AC:L/Au:N/C:C/I:C/A:C — 7.2 (High), которую считали закрытой ещё в 2020 году. Однако полностью обновлённые системы Windows 11, а также Windows Server 2022 и Windows Server 2025 по-прежнему уязвимы для такого способа атаки.
Как и CVE-2020-17103, новая проблема затрагивает драйвер Cloud Filter и процедуру HsmOsBlockPlaceholderAccess. Атака относится к локальному повышению привилегий . Злоумышленнику сначала нужен доступ к системе, но после успешной эксплуатации MiniPlasma он может перейти на максимальный уровень прав. Реальные атаки с использованием MiniPlasma наблюдаются с 10 апреля. Опубликованный демонстрационный код повышает риск новых атак, поскольку воспользоваться уязвимостью могут не только продвинутые группы, но и менее подготовленные злоумышленники.
Лаборатория Касперского описала признаки, по которым можно выявить попытки эксплуатации MiniPlasma: в разделе реестра HKU.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps создаются символические ссылки, файл wermgr.exe появляется вне стандартных системных каталогов, а системные файлы или их имитации запускаются из нетипичных папок. Дополнительный признак – библиотека NtApiDotNet: в демонстрационном коде она применялась для работы с низкоуровневыми функциями реестра Windows.
Отдельное внимание советуют уделить тому, как изменяется ключ реестра CloudFiles\BlockedApps, запускается задача \Microsoft\Windows\Windows Error Reporting\QueueReporting, появляется wermgr.exe вне папок C:\Windows\System32 и C:\Windows\SysWOW64, а также процессам, которые запускаются через wermgr.exe.
До выхода исправления администраторам стоит внимательно отслеживать подозрительные изменения в реестре, нестандартный запуск системных файлов и необычную активность службы отчётов об ошибках Windows.
- Источник новости
- www.securitylab.ru
