Напълно обновени версии на Windows се оказаха уязвими към експлойт, открит още преди шест години от екипа на Google Project Zero. Анонимен изследовател по сигурността публикува нов инструмент за атака, който според него успешно предоставя най-високите SYSTEM привилегии дори на актуални версии на Windows 11 и Windows Server 2025.

Изследователят, известен под псевдонимите Nightmare-Eclipse и Chaotic Eclipse, твърди, че Microsoft или никога не е поправила напълно проблема, или корекцията впоследствие е била премахната без публично обяснение.

Стар проблем, нова заплаха

Уязвимостта е свързана с драйвера cldflt.sys, който отговаря за синхронизацията на файлове в OneDrive. Още през 2020 г. експертът по сигурността Джеймс Форшоу от Google съобщава за проблема на Microsoft чрез програмата Project Zero.

Тогава компанията публикува предупреждение за сигурност и обозначава уязвимостта като CVE-2020-17103 със степен на опасност 7.8 от 10. Според новите твърдения обаче оригиналният proof-of-concept код все още работи без съществени промени.

Публикуваният инструмент, наречен MiniPlasma, позволява на нападател с базов достъп до системата да отвори команден ред с SYSTEM права – най-високото ниво на контрол в Windows.

Как работи атаката

Проблемът се крие в начина, по който драйверът обработва записи в Windows Registry. При определени условия атакуващият може да предизвика т.нар. race condition, при което операционната система временно „забравя“ кой потребител извършва операцията.

В този момент Windows преминава към идентичността ANONYMOUS LOGON и автоматично разрешава запис в системна секция на регистъра, вместо в потребителската. Това позволява повишаване на привилегиите до SYSTEM ниво.

Според външни изследователи експлойтът действително работи върху някои напълно обновени версии на Windows. Експертът по сигурността Уил Дорман също потвърждава, че е успял да възпроизведе атаката върху Windows 11 с последните актуализации от май. По негови думи обаче проблемът не се проявява в най-новите Insider Preview Canary версии.

Поредица от публично публикувани zero-day експлойти

Nightmare-Eclipse вече привлече внимание през последните месеци с публикуването на няколко Windows zero-day експлойта. През април изследователят разпространи уязвимости за повишаване на привилегии в Windows Defender, а през май публикува и техника за заобикаляне на BitLocker.

Хакерът твърди, че действията му са мотивирани от личен конфликт с Microsoft, като дори обвинява компанията, че го е оставила „без дом и без нищо“.

Рискът за организациите

Макар уязвимостта да изисква първоначален достъп до системата, подобни техники често се използват като втори етап при реални атаки. След проникване чрез фишинг, злонамерен софтуер или компрометирани акаунти, нападателите могат да използват локални експлойти за пълен контрол върху устройството.

Случаят отново поставя въпроси около качеството на някои Windows корекции, както и около практиката за „тихи“ промени без публично документиране. За организациите това означава, че дори напълно обновени системи невинаги гарантират пълна защита срещу вече известни уязвимости.