En bref

  • MiniPlasma : zero-day d'escalade de privilèges locaux (LPE) permettant d'obtenir les droits SYSTEM sur Windows, y compris Windows 11 entièrement patché (mai 2026)
  • PoC fonctionnel publié sur GitHub le 18 mai 2026 par le chercheur "Chaotic Eclipse" — code source et exécutable précompilé disponibles publiquement
  • La faille exploite le driver Cloud Filter (cldflt.sys) ; Microsoft n'a publié aucun patch ni advisory officiel à ce jour

Les faits

Le 18 mai 2026, un chercheur en sécurité opérant sous le pseudonyme "Chaotic Eclipse" a publié sur GitHub un exploit proof-of-concept (PoC) complet pour une vulnérabilité d'escalade de privilèges locaux (Local Privilege Escalation, LPE) sur Windows, surnommée "MiniPlasma". L'exploit inclut le code source intégral et un exécutable précompilé, permettant à quiconque — sans compétence technique particulière — d'obtenir un shell avec les privilèges SYSTEM sur un système Windows à jour.

Les équipes de BleepingComputer ont vérifié l'exploit le jour même de sa publication sur un poste Windows 11 Pro tournant sous les dernières mises à jour du Patch Tuesday de mai 2026. Le résultat est sans ambiguïté : l'exécution du binaire depuis un compte utilisateur standard ouvre une invite de commande avec les droits SYSTEM en quelques secondes. Cette validation indépendante par une rédaction spécialisée confirme le niveau de dangerosité réel de l'exploit.

Techniquement, MiniPlasma exploite un comportement défectueux dans le driver "cldflt.sys", le Cloud Filter Driver de Windows. Ce composant gère les fichiers synchronisés avec OneDrive et d'autres fournisseurs de stockage cloud en utilisant la technologie "placeholder" (fichiers localement disponibles mais hébergés dans le cloud). Plus précisément, la faille réside dans la routine HsmOsBlockPlaceholderAccess et dans l'utilisation de l'API non documentée CfAbortHydration, qui permettrait une création de clé de registre avec des permissions incorrectes ouvrant la porte à une élévation de privilèges vers SYSTEM.

L'aspect le plus préoccupant de MiniPlasma est son histoire : cette vulnérabilité n'est pas nouvelle. Le chercheur James Forshaw de Google Project Zero avait déjà identifié et signalé ce problème exact à Microsoft en septembre 2020, lui valant l'attribution du CVE-2020-17103. Microsoft avait publié un correctif en décembre 2020 et déclaré la faille résolue. Or, selon "Chaotic Eclipse" : "le problème exact signalé à Microsoft par Google Project Zero est en réalité toujours présent, non patché." Cinq ans et demi après le premier signalement et un patch présenté comme complet, la même surface d'attaque reste pleinement exploitable sur les systèmes les plus récents.

Toutes les versions de Windows sont affectées selon le chercheur, des éditions Workstation aux serveurs, dès lors que le composant Cloud Filter est chargé. Ce driver est actif par défaut sur les systèmes modernes disposant d'une intégration OneDrive — soit la très grande majorité des postes Windows en entreprise et grand public. Les serveurs Windows Core sans interface graphique peuvent être moins exposés si cldflt.sys n'y est pas chargé, mais cela doit être vérifié au cas par cas via la commande sc query cldflt.

À l'heure de publication de cet article, Microsoft n'a pas encore publié de patch ni d'advisory officiel en réponse à la publication publique du PoC. L'entreprise n'a pas non plus commenté l'affirmation selon laquelle CVE-2020-17103 n'a pas été correctement corrigé. Cette divulgation sans coordination préalable avec l'éditeur (full disclosure) place Microsoft dans une position délicate : chaque heure sans patch est une heure pendant laquelle des acteurs malveillants peuvent intégrer ce vecteur dans leurs toolkits d'attaque.

Dans le contexte des entreprises, un LPE zero-day avec PoC public représente un risque opérationnel immédiat, particulièrement dans les scénarios de post-exploitation. La séquence d'attaque typique : un attaquant compromet un poste via phishing ou credential stuffing avec un compte utilisateur standard, puis utilise MiniPlasma pour escalader vers SYSTEM, dumper les identifiants depuis la mémoire LSASS (via mimikatz ou ses dérivés), et pivoter latéralement sur le réseau. De là, il peut désactiver les solutions EDR, déployer un ransomware, ou exfiltrer des données sans déclencher d'alerte sur les droits nécessaires.

La publication d'un PoC entièrement fonctionnel et précompilé abaisse drastiquement la barrière d'entrée pour les attaquants. Des acteurs peu qualifiés, notamment les affiliés ransomware-as-a-service qui achètent l'accès initial et cherchent à escalader rapidement, peuvent intégrer cet outil immédiatement. Les forums cybercriminels référençaient déjà l'exploit dans les heures suivant sa publication, selon les observations des équipes de threat intelligence.

Impact et exposition

L'ensemble du parc Windows est potentiellement exposé, y compris les systèmes entièrement à jour au 19 mai 2026. Le risque est particulièrement élevé dans les environnements où des utilisateurs non-administrateurs ont accès à des postes Windows avec OneDrive activé — c'est-à-dire l'immense majorité des entreprises équipées de Microsoft 365. Les environnements VDI (Virtual Desktop Infrastructure) avec sessions utilisateurs partagées sont également à risque critique. Les serveurs Windows sans interface graphique peuvent être moins exposés si cldflt.sys n'est pas chargé, mais cela requiert une vérification individuelle.

Recommandations

  • Bloquer ou surveiller l'exécution de binaires non signés depuis les profils utilisateurs (%APPDATA%, %TEMP%, %USERPROFILE%) via AppLocker, Windows Defender Application Control (WDAC) ou les politiques de votre EDR — l'exécutable MiniPlasma se lance depuis ces chemins par défaut
  • Activer les règles de détection d'escalade de privilèges dans votre EDR/SIEM : surveiller les processus cmd.exe ou powershell.exe lancés avec le token SYSTEM depuis un processus parent non-SYSTEM sans élévation UAC explicite
  • Contrôler si le driver cldflt.sys est chargé sur vos serveurs Windows et envisager sa désactivation si OneDrive n'est pas utilisé (commande : sc config cldflt start= disabled, suivi d'un redémarrage) — tester en environnement non-production avant tout déploiement
  • Appliquer le principe du moindre privilège : revoir les comptes disposant de droits locaux inutiles, activer Credential Guard sur les systèmes compatibles pour protéger LSASS
  • Suivre les bulletins Microsoft — un patch hors-cycle (out-of-band) est à anticiper compte tenu de la criticité et de la disponibilité publique d'un PoC pleinement fonctionnel

Alerte critique

Un PoC entièrement fonctionnel est disponible publiquement depuis le 18 mai 2026 et permet d'atteindre les droits SYSTEM sur n'importe quel Windows à jour. Aucun patch n'est disponible. Les équipes SOC doivent activer immédiatement des règles de détection pour l'abus de cldflt.sys et les escalades de privilèges anormales.

Comment détecter une tentative d'exploitation de MiniPlasma dans mes logs Windows ?

Dans les logs d'événements Windows (Security, avec audit de création de processus activé), chercher les événements ID 4688 montrant un cmd.exe ou powershell.exe avec le champ "Token Elevation Type" à "%%1936" (TokenElevationTypeFull) depuis un processus parent non-SYSTEM. Côté Sysmon, les événements ID 1 (création de processus) avec un IntegrityLevel SYSTEM depuis un processus parent de niveau Medium ou Low sont caractéristiques. Des règles Sigma open-source couvrant ces patterns sont disponibles dans le dépôt SigmaHQ pour une intégration immédiate dans votre SIEM.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit