MiniPlasma : 0-day Windows LPE SYSTEM sur systèmes patchés (PoC)

Les faits

Le 19 mai 2026, des chercheurs en sécurité ont rendu public un exploit 0-day baptisé MiniPlasma, permettant à tout utilisateur local non privilégié d'obtenir les droits SYSTEM sur des systèmes Windows 10, Windows 11 et Windows Server 2022/2025 entièrement à jour, y compris après l'application complète du Patch Tuesday de mai 2026. L'existence d'un Proof-of-Concept (PoC) fonctionnel accessible publiquement — démontrant l'ouverture d'un interpréteur de commandes cmd.exe avec les droits SYSTEM — place MiniPlasma dans la catégorie des menaces immédiates nécessitant une attention défensive urgente, même en l'absence de correctif disponible.

MiniPlasma cible le pilote Cloud Files Mini Filter (cldflt.sys), un composant du noyau Windows gérant l'intégration des fichiers cloud (OneDrive et services compatibles) au sein du système de fichiers Windows. La vulnérabilité exploitée réside dans la gestion des callbacks du mini-filtre du noyau, conduisant à une condition de type use-after-free ou corruption de mémoire noyau selon les analyses publiées par ThreatLocker et Rescana. Cette corruption permet à l'exploit d'injecter et d'exécuter du code arbitraire dans le contexte du noyau Windows (ring 0), puis d'élever les privilèges du processus appelant au niveau SYSTEM, soit le niveau de privilège le plus élevé accessible en espace utilisateur sous Windows.

L'histoire de cette vulnérabilité est complexe et révélatrice des limites du processus de patch. Selon les analyses des chercheurs à l'origine de MiniPlasma, la faille sous-jacente avait été initialement identifiée par le chercheur James Forshaw de Google Project Zero en 2020, signalée à Microsoft et prétendument corrigée en décembre 2020 sous un CVE alors assigné. Cependant, soit le correctif initial n'a jamais été correctement appliqué à l'ensemble des branches Windows concernées, soit il a été partiellement régressé lors d'une mise à jour ultérieure. MiniPlasma est une version weaponisée de ce PoC original, modifiée par le groupe Chaotic Eclipse pour spawner un shell SYSTEM plutôt que simplement démontrer la corruption mémoire. Will Dormann, chercheur en sécurité reconnu, a confirmé sur des plateformes spécialisées que MiniPlasma fonctionnait de manière fiable sur les systèmes Windows 11 les plus récents fin mai 2026.

La nature de la vulnérabilité — dans cldflt.sys, un composant qui n'était pas présent dans les versions anciennes de Windows et qui a été introduit avec l'intégration cloud d'OneDrive — explique pourquoi la faille affecte principalement Windows 10 et versions ultérieures. Les systèmes Windows 7 et 8.1, en fin de support, ne disposent pas du composant cldflt.sys et ne sont pas concernés par cet exploit spécifique. Le PoC public diffusé par Chaotic Eclipse cible spécifiquement les architectures x64 et a été validé sur Windows 11 23H2 et 24H2 avec tous les correctifs de mai 2026 appliqués, selon les analyses de ThreatLocker et ThaiCERT publiées les 19 et 20 mai 2026.

Au 25 mai 2026, Microsoft n'a pas assigné de nouveau CVE ID à la vulnérabilité exploitée par MiniPlasma et n'a pas publié de patch d'urgence out-of-band. Dans une déclaration à BleepingComputer, Microsoft indique être au courant de ce rapport et enquêter activement. Des correctifs préliminaires ont été introduits dans les builds Insider Preview Canary de Windows 11, suggérant qu'un correctif est en cours de développement pour les branches stables, mais aucune date de disponibilité n'a été communiquée. Cette absence de patch signifie que MiniPlasma est actuellement un 0-day actif pour lequel aucune remédiation directe n'existe via les canaux officiels Microsoft au moment de la publication de cet article.

La publication du PoC MiniPlasma s'inscrit dans un contexte plus large de divulgations de vulnérabilités noyau Windows en 2026. En avril 2026, les chercheurs avaient déjà publié des exploits désignés YellowKey et GreenPlasma, exploitant respectivement un contournement BitLocker via WinRE et une élévation de privilèges SYSTEM (analysés dans notre article dédié). La mise en perspective de ces divulgations successives suggère une activité de recherche intense sur les composants noyau Windows, potentiellement alimentée par des investigations sur des régressions de correctifs antérieurs. Selon The Hacker News, MiniPlasma est le cinquième exploit LPE Windows publié publiquement en 2026, témoignant d'une tendance préoccupante pour la posture de sécurité des environnements Windows.

Sur le plan de l'exploitation en conditions réelles, MiniPlasma est catégorisé comme une vulnérabilité d'élévation de privilèges locaux (Local Privilege Escalation), ce qui signifie que l'attaquant doit disposer d'une exécution de code locale — même non privilégiée — sur le système cible avant de pouvoir exploiter la faille. Dans la pratique, MiniPlasma est utilisé comme second stage dans une chaîne d'attaque : après une infection initiale (phishing, exploitation d'une vulnérabilité applicative, accès physique) qui donne à l'attaquant un accès utilisateur standard, MiniPlasma permet l'escalade immédiate vers SYSTEM, contournant ainsi toutes les protections basées sur la séparation des privilèges. Il n'existe pas à ce jour de preuve documentée d'exploitation in-the-wild de MiniPlasma, mais la disponibilité publique du PoC rend cette exploitation imminente pour des acteurs malveillants qui intégreront rapidement cet outil dans leurs frameworks d'attaque (Cobalt Strike, Metasploit, outils personnalisés).

Impact et exposition

MiniPlasma affecte potentiellement des centaines de millions de systèmes Windows dans le monde. La base installée de Windows 10 et Windows 11 — représentant ensemble plus de 85 % du parc Windows actif selon les statistiques de début 2026 — est intégralement exposée à cet exploit, quelle que soit l'application des mises à jour récentes. Contrairement aux vulnérabilités corrigées lors du Patch Tuesday, aucune action de remédiation standard (mise à jour Windows Update) ne permet de se protéger de MiniPlasma à ce stade, ce qui rend la défense particulièrement difficile et repose entièrement sur des mesures comportementales et de défense en profondeur.

Les conditions d'exploitation requièrent un accès local non privilégié, ce qui limite le vecteur d'attaque initial aux scénarios où un attaquant a déjà pied sur la machine. Dans la réalité opérationnelle, cela inclut les environnements multi-utilisateurs partagés (terminaux, kiosques, environnements VDI), les entreprises où des agents d'accès à distance légitimes sont compromis, et les systèmes infectés via phishing ou exploitation applicative. Pour les équipes de réponse à incident, MiniPlasma représente un risque particulier car il permet à un attaquant initialement cantonné à un compte peu privilégié de prendre le contrôle total d'un système rapidement et discrètement, avant même que les équipes SOC n'aient détecté l'intrusion initiale.

L'impact d'une exploitation réussie est maximal : les droits SYSTEM permettent de désactiver les logiciels de sécurité (EDR, antivirus), de modifier les configurations systèmes protégées, d'exfiltrer des données chiffrées, de créer des backdoors persistantes, et de pivoter vers d'autres systèmes réseau. Dans les environnements Active Directory, un processus SYSTEM peut interagir avec les secrets Kerberos locaux (tickets TGT, hachages NTLM en mémoire LSASS) pour faciliter des attaques de type pass-the-hash ou Kerberoasting, transformant une compromission locale en compromission domaine potentielle.

Recommandations immédiates

• Surveiller via EDR ou SIEM les processus cmd.exe et powershell.exe spawned avec des privilèges SYSTEM depuis des processus parents non privilégiés — signature comportementale caractéristique de MiniPlasma
• Activer Windows Defender Credential Guard et VBS (Virtualization-Based Security) pour limiter l'impact d'une LPE réussie sur les secrets d'authentification Kerberos/NTLM en mémoire
• Déployer des règles WDAC (Windows Defender Application Control) pour restreindre l'exécution de binaires non signés susceptibles d'embarquer l'exploit MiniPlasma
• Monitorer les appels DeviceIoControl et NtFsControlFile inhabituels vers cldflt.sys via les outils de détection comportementale noyau
• En environnement haute sécurité où OneDrive n'est pas utilisé : envisager la désactivation temporaire du Cloud Files Mini Filter via la commande fltMC unload cldflt (requiert droits administrateur) — attention aux impacts sur les fonctionnalités cloud
• Suivre les builds Windows Insider Preview Canary pour identifier la date d'intégration du correctif avant déploiement en production