MiniPlasma : 6e zero-day Windows sans patch, élévation vers SYSTEM sur Win11

Les faits

Le 18 mai 2026, l'acteur de menace connu sous le nom de Nightmare-Eclipse — également référencé sous les aliases Dead Eclipse, Chaotic Eclipse et Eclipse — a publié son sixième exploit zero-day Windows consécutif en moins de deux mois. Baptisé MiniPlasma, ce proof-of-concept (PoC) permet à un utilisateur standard, sans aucun privilège administrateur, d'escalader ses droits jusqu'au niveau SYSTEM sur un système Windows 11 entièrement à jour avec les patches de mai 2026. Microsoft n'a toujours pas publié de correctif officiel. La campagne de divulgation initiée par Nightmare-Eclipse depuis début avril 2026 est qualifiée par les chercheurs de ThreatLocker comme la série la plus agressive de zero-days non coordonnés contre Windows depuis une décennie.

Les six exploits publiés forment une série cohérente : BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma et MiniPlasma. Chaque PoC cible un composant Windows distinct, démontrant une connaissance approfondie des mécanismes internes de l'OS. La stratégie de l'acteur est documentée et répétitive : publications espacées d'une à deux semaines, chaque exploit fonctionnel et vérifié par des tiers indépendants, aucune demande de divulgation coordonnée auprès de Microsoft. Les chercheurs de BleepingComputer ayant analysé les métadonnées des publications attribuent l'infrastructure à une géolocalisation russe, avec une motivation personnelle revendiquée contre l'éditeur américain.

Techniquement, MiniPlasma exploite une vulnérabilité dans le driver Cloud Filter (cldflt.sys), le composant Windows responsable de la gestion des fichiers synchronisés via OneDrive et les solutions de stockage cloud compatibles. Le mécanisme d'exploitation repose sur une manipulation de clé de registre via l'API non documentée CfAbortHydration. En abusant de cette API, un utilisateur standard peut créer une clé dans la ruche de registre DEFAULT sans que Windows ne vérifie correctement les droits d'accès requis — une faille de type improper access control dans la vérification des permissions au niveau kernel. Le résultat est une exécution de code arbitraire dans le contexte SYSTEM, le niveau de privilège le plus élevé du système d'exploitation.

La particularité de MiniPlasma réside dans le composant ciblé. cldflt.sys est actif sur tous les systèmes Windows 11 dès lors que OneDrive est installé — ce qui correspond à l'écrasante majorité des installations d'entreprise et grand public. Contrairement à d'autres composants systèmes pouvant être désactivés sans impact fonctionnel majeur, cldflt.sys est profondément intégré à l'architecture Windows 11. Le désactiver suppose de désactiver l'ensemble des fonctionnalités de synchronisation cloud, une décision que peu d'organisations peuvent prendre unilatéralement sur leur parc sans impact métier significatif.

La vulnérabilité est particulièrement notable car elle ressuscite en pratique CVE-2020-17103, une faille supposément corrigée par Microsoft en décembre 2020. Nightmare-Eclipse a publié une analyse démontrant que si le vecteur original a bien été patché, une variante sémantiquement identique subsiste dans le même composant six ans plus tard. Cette régression illustre le risque systémique des patchs partiels sur des composants complexes : corriger un symptôme sans adresser la cause racine crée des dettes techniques de sécurité qui resurgissent sous des formes légèrement différentes.

La réaction de l'écosystème a été rapide. ThreatLocker a publié le 19 mai 2026 une analyse complète de MiniPlasma avec des règles de blocage pour ses clients, confirmant que l'exploit est fonctionnel sur Windows 11 entièrement patché et que Windows Defender ne le bloque pas à ce stade. Barracuda Networks et plusieurs chercheurs indépendants ont confirmé la reproductibilité de l'exploitation en environnement de test isolé. Le PoC est disponible publiquement, ce qui réduit le délai avant son intégration dans des kits d'exploitation criminels.

Microsoft n'a pas communiqué de timeline pour un correctif officiel au moment de la rédaction. L'entreprise a confirmé être au courant de la publication du PoC et être en cours d'investigation, sans préciser si un patch hors-cycle serait publié ou si MiniPlasma serait adressé lors du Patch Tuesday de juin 2026. Ce silence est interprété par certains chercheurs comme le signe que la correction nécessite des modifications architecturales plus profondes que d'habitude dans le driver concerné, potentiellement liées à des interdépendances avec d'autres composants de synchronisation cloud.

Le risque d'intégration de MiniPlasma dans des chaînes d'attaque existantes est réel et immédiat. Les vulnérabilités d'élévation de privilèges locaux sont des composantes critiques des playbooks d'attaque post-compromission : après un premier accès via phishing, exploitation d'une RCE web ou mouvement latéral, un attaquant disposant d'un shell standard peut utiliser MiniPlasma pour obtenir SYSTEM, déployer du ransomware, désactiver les agents EDR, ou exfiltrer des données en contournant les contrôles d'accès. Les cinq exploits précédents de Nightmare-Eclipse ont déjà été observés dans des kits d'exploitation circulant sur des forums cybercriminels russophone.

Impact et exposition

MiniPlasma affecte tous les systèmes Windows 11 avec OneDrive actif, entièrement patchés au niveau de mai 2026. En pratique, cela représente l'immense majorité du parc Windows 11 mondial. Les environnements les plus à risque sont ceux où des utilisateurs standards peuvent exécuter des applications non contrôlées : stations de travail sans application whitelisting strict, environnements BYOD, systèmes de développeurs. L'absence de PoC weaponisé packagé réduit momentanément le risque d'exploitation massive non ciblée, mais la fenêtre temporelle avant intégration dans des outils d'attaque professionnels est estimée à quelques jours seulement.

Recommandations

• Déployer des règles de détection comportementale via votre EDR ciblant les accès anormaux à cldflt.sys et les créations de clés dans la ruche DEFAULT depuis des processus non-privilégiés
• Activer les solutions d'application whitelisting (AppLocker, WDAC, ThreatLocker) pour bloquer l'exécution de code non approuvé pouvant abuser CfAbortHydration
• Appliquer le principe de moindre privilège strict : aucun utilisateur ne doit disposer de droits au-delà de ce que ses fonctions requièrent
• Surveiller les alertes Microsoft concernant un éventuel patch hors-cycle et prioriser l'application du Patch Tuesday de juin 2026 dès sa publication
• Évaluer la possibilité de désactiver OneDrive sur les postes traitant des données particulièrement sensibles dans l'attente d'un correctif officiel