Lỗ hổng CVE leo thang đặc quyền trên Windows có tên “MiniPlasma” vừa xuất hiện với mã khai thác công khai, cho phép tiến trình không đặc quyền đạt SYSTEM-level privileges trên hệ thống Windows đã vá đầy đủ.
Lỗ hổng CVE-2020-17103 và cơ chế khai thác
Lỗ hổng được gắn mã CVE-2020-17103, liên quan đến trình điều khiển cldflt.sys của Cloud Filter trong routine HsmOsBlockPlaceholderAccess. Theo mô tả kỹ thuật, lỗi nằm ở cách hàm này xử lý việc tạo registry key nhưng không đặt cờ OBJ_FORCE_ACCESS_CHECK.
Điều này cho phép kẻ tấn công vượt qua kiểm soát truy cập thông thường và ghi khóa vào DEFAULT user hive, dù tài khoản chuẩn không có quyền tương ứng. Đây là một lỗ hổng CVE có thể bị khai thác để leo thang đặc quyền cục bộ.
Microsoft được cho là đã khắc phục lỗi này trong bản cập nhật Patch Tuesday tháng 12/2020. Tuy nhiên, mã khai thác công khai cho thấy cùng một vấn đề vẫn có thể bị khai thác mà không cần sửa đổi đáng kể so với proof-of-concept ban đầu.
MiniPlasma: Mã khai thác công khai trên GitHub
Nhà nghiên cứu bảo mật Nightmare-Eclipse đã công bố exploit đã vũ khí hóa trên GitHub vào ngày 13/05/2026. Mã này được phát hành ngay sau chu kỳ vá tháng 5/2026, khiến các tổ chức chưa có bản vá chính thức mới trong ngắn hạn.
Kho mã trên GitHub đã thu hút mức quan tâm cao trong cộng đồng bảo mật, với hơn 390 lượt star chỉ trong vài ngày. Mã khai thác chứng minh khả năng tạo một command prompt với quyền SYSTEM từ tài khoản người dùng chuẩn.
Tham khảo nguồn gốc và mã công khai tại: https://github.com/Nightmare-Eclipse/MiniPlasma.
Cách lỗi hoạt động
Vấn đề cốt lõi nằm ở race condition giữa các token người dùng và anonymous token. Exploit tận dụng việc chuyển trạng thái này để thao tác hàm RtlOpenCurrentUser trong kernel.
Khi điều kiện tranh chấp xảy ra đúng thời điểm, hệ thống mở DEFAULT hive ở chế độ ghi trong lúc impersonation của luồng đã được hoàn nguyên. Kết quả là kẻ tấn công có thể tạo registry key trái phép và chiếm quyền điều khiển tiến trình.
Tác động kỹ thuật của lỗ hổng CVE
Lỗ hổng CVE này ảnh hưởng đến tất cả phiên bản Windows được xác định trong nội dung gốc, bao gồm cả hệ thống doanh nghiệp, máy trạm và môi trường đồng bộ dữ liệu đám mây.
Do Cloud Filter driver là thành phần gắn với các dịch vụ đồng bộ lưu trữ đám mây như OneDrive, mã dễ bị khai thác có thể tồn tại trên phạm vi rộng của các cài đặt Windows. Khi khai thác thành công, attacker có thể đạt local privilege escalation và mở shell quyền SYSTEM.
Đây là một lỗ hổng CVE có mức rủi ro cao vì mã khai thác công khai làm tăng khả năng bị lạm dụng trên thực tế. Tổ chức nên theo dõi thông báo từ Microsoft và triển khai bản vá ngay khi có sẵn.
IOC và dấu hiệu liên quan
Nội dung gốc không cung cấp IOC theo dạng hash, domain, IP hay file name của payload. Tuy nhiên, có thể trích xuất các chỉ dấu kỹ thuật sau:
- Tên exploit: MiniPlasma
- GitHub repository: Nightmare-Eclipse/MiniPlasma
- CVE: CVE-2020-17103
- Driver liên quan: cldflt.sys
- Routine liên quan: HsmOsBlockPlaceholderAccess
- Hành vi khai thác: Tạo registry key trái phép trong DEFAULT hive
- Hậu khai thác: SYSTEM shell trên máy bị ảnh hưởng
Phân tích kỹ thuật từ Project Zero
Thông tin từ Google Project Zero cho thấy lỗi đã được báo cáo từ tháng 09/2020 bởi James Forshaw. Tài liệu tham chiếu cho thấy cách hàm HsmOsBlockPlaceholderAccess xử lý tạo registry key không đúng, dẫn đến điều kiện bypass kiểm soát truy cập.
Nội dung tham chiếu kỹ thuật có thể xem tại: Google Project Zero issue 42451192.
Trong bối cảnh lỗ hổng CVE đã được biết đến từ lâu nhưng vẫn có thể khai thác, việc xác minh trạng thái bản vá trên hệ thống Windows là cần thiết. Các hệ thống chưa áp dụng fix phù hợp hoặc có trạng thái vá không đồng nhất sẽ là mục tiêu có nguy cơ cao.
Ảnh hưởng hệ thống và phạm vi khai thác
Thử nghiệm được mô tả cho thấy chỉ cần chạy exploit từ tài khoản người dùng chuẩn là có thể mở command prompt với quyền SYSTEM. Điều này đồng nghĩa attacker có thể kiểm soát hoàn toàn máy bị xâm nhập sau khi khai thác thành công.
Với đặc tính leo thang đặc quyền cục bộ, lỗ hổng CVE này có thể được dùng làm bước trung gian trong chuỗi tấn công để cài đặt mã độc, chỉnh sửa cấu hình bảo mật, hoặc vô hiệu hóa cơ chế phòng vệ trên endpoint.
Trong môi trường có đồng bộ cloud, đặc biệt là nơi sử dụng thành phần Cloud Filter, rủi ro bảo mật tăng lên do bề mặt tấn công xuất hiện trên nhiều hệ thống Windows khác nhau.
Khuyến nghị theo dõi và vá lỗi
Do mã khai thác công khai đã xuất hiện, việc cập nhật bản vá và kiểm tra trạng thái bảo vệ là ưu tiên. Tổ chức cần theo dõi chu kỳ phát hành của Microsoft để áp dụng bản sửa lỗi mới nhất khi có.
Trong thời gian chờ bản vá, các đội vận hành nên giám sát hoạt động bất thường liên quan đến registry hive, đặc biệt là hành vi tạo key không hợp lệ và tiến trình bất thường sinh ra shell quyền cao. Đây là các tín hiệu quan trọng để phát hiện khai thác lỗ hổng CVE.
Thông tin lịch sử vá lỗi của Microsoft có thể đối chiếu thêm qua nguồn cập nhật chính thức: Microsoft Security Blog.
Liên hệ giữa exploit công khai và rủi ro bảo mật
Sự xuất hiện của exploit công khai làm tăng mạnh nguy cơ bảo mật, vì kẻ tấn công có thể tái sử dụng mã sẵn có thay vì tự phát triển kỹ thuật khai thác. Với lỗ hổng CVE này, điểm đáng chú ý là exploit được mô tả là hoạt động ổn định trên hệ thống đa nhân nhờ cơ chế race condition.
Vì vậy, khi đánh giá rủi ro bảo mật, cần xem xét cả mức độ khả dụng của mã khai thác, phạm vi ảnh hưởng của driver và khả năng leo thang lên SYSTEM. Đây là một trường hợp điển hình của lỗ hổng CVE có thể chuyển từ thông tin nghiên cứu sang khai thác thực tế rất nhanh khi PoC được công bố công khai.
