La faille d’élévation de privilèges dans le pilote Cloud Filter réapparaît, soulevant des inquiétudes concernant les vulnérabilités de régression dans Windows.
Une ancienne vulnérabilité d’élévation de privilèges (EoV) affectant le pilote Cloud Filter « cldflt.sys » dans Windows est revenue hanter Microsoft, car les chercheurs affirment qu’elle est toujours exploitable six ans après avoir été soi-disant corrigée.
La faille, initialement signalée à Microsoft par James Forshaw, chercheur de Google Project Zero en septembre 2020, a été récemment détectée par Nightmare Eclipse, un chercheur en cours de découverte de bogues Windows, et retravaillée pour obtenir les privilèges SYSTÈME.
« Je ne sais pas si Microsoft n’a tout simplement jamais corrigé le problème ou si le correctif a été annulé silencieusement à un moment donné pour des raisons inconnues », a déclaré Eclipse dans un article PoC, appelant la redécouverte « MiniPlasma ». « Le PoC original de Google a fonctionné sans aucun changement. »
Le PoC d’Eclipse a déclenché les privilèges SYSTEM sur toutes les versions de Windows exécutées sur les machines du chercheur, mais a déclaré que « le taux de réussite peut varier car il s’agit d’une condition de concurrence ».
« L’exploit est hautement crédible, il fonctionne sur des systèmes entièrement corrigés et il met en évidence une énorme lacune dans la façon dont les failles de régression héritées sont gérées », a déclaré Agnidipta Sarkar, évangéliste en chef chez ColorTokens. « Une recherche rapide m’indique que la vulnérabilité réside dans cldflt.sys (le pilote de mini-filtre Windows Cloud Files), en particulier dans la routine HsmOsBlockPlaceholderAccess, qui gère la fonctionnalité Cloud Sync (telle que les fichiers d’espace réservé OneDrive). »
Un bug corrigé qui fonctionne toujours
MiniPlasma a reproduit un ancien problème, suivi comme CVE-2020-17103, sur la façon dont Windows gère la création de clés via une API non documentée liée au pilote Cloud Filter.
Le rapport Project Zero original de Forshaw décrivait un scénario dans lequel des clés de registre arbitraires pourraient être créées dans la ruche utilisateur « .DEFAULT » sans contrôles d’accès appropriés, permettant potentiellement une élévation des privilèges locaux. La faille a reçu une note CVSS de 7,8 « haute gravité » par le NIST, mais Microsoft avait contesté cette note avec sa propre évaluation CVSS de 7,0 sur 10.
« Comme il s’agit d’une faille LPE (Local Privilege Escalation), elle ne peut pas être utilisée pour une entrée initiale à distance dans un système », a déclaré Sarkar. « Et c’est prometteur car cela nécessite un mouvement latéral, qui peut être refusé par la microsegmentation moderne dans un modèle sans agent intégrant l’EDR comme CrowdStrike/Defender/SentinelOne, etc., mis en œuvre en moins d’une journée pour maintenir les systèmes vulnérables en quarantaine jusqu’à ce que le correctif Microsoft soit appliqué. »
Microsoft avait corrigé le problème en décembre 2020, qualifiant l’exploitation de la faille de « moins probable » car il estimait que la complexité de l’attaque était « élevée ».
Eclipse affirme cependant que le comportement défectueux n’a jamais vraiment disparu. La chaîne d’exploitation originale de 2020 réussit toujours sur les versions modernes de Windows, permettant à un compte utilisateur standard d’accéder directement aux privilèges SYSTÈME, ont-ils noté dans le texte.
« Je ne sais pas pourquoi Microsoft a manqué cela, mais je suppose que soit ils ont bloqué seulement un canal secondaire spécifique, pas toute la routine, soit il s’agissait d’un échec accidentel », a ajouté Sarkar. « Dans les deux cas, à l’ère du Mythe, c’est définitivement un problème majeur. »
Le chercheur en sécurité Will Dormann a confirmé le comportement bogué dans les dernières mises à jour de mai, bien qu’il ait noté que l’exploit a échoué sur la dernière version de Windows 11 Canary Insider, suggérant que Microsoft teste peut-être déjà discrètement des atténuations.
On ne sait pas si la faille a déjà été utilisée comme arme au cours de ces années, en dehors des multiples POC publiés.
La vague de divulgation de Windows de Nightmare-Eclipse ne cesse de croître
MiniPlasma n’est que la dernière entrée de ce qui est devenu l’une des versions de divulgation Windows les plus chaotiques de 2026.
La frénésie a commencé avec BlueHammer, une faille d’élévation de privilèges de Windows Defender qui a ensuite été attribuée à CVE-2026-33825. Cela a été suivi par RedSun et UnDefend, deux autres divulgations d’élévation de privilèges Windows et de déni de service. Huntress a rapporté plus tard avoir observé les outils BlueHammer, RedSun et UnDefend lors d’une enquête d’intrusion réelle liée à une activité VPN suspecte et au comportement d’un attaquant au clavier.
Plus tôt ce mois-ci, Eclipse a également publié YellowKey et GreenPlasma. YellowKey contournerait les protections BitLocker uniquement TPM en abusant du comportement de l’environnement de récupération Windows pour obtenir un accès shell aux lecteurs chiffrés, tandis que GreenPlasma est une autre technique d’élévation de privilèges locale visant à obtenir l’accès au SYSTÈME.
C’est au cours de leur enquête de suivi sur la technique GreenPlasma qu’Eclipse a rencontré MiniPlasma. « Après avoir réexaminé la technique utilisée dans GreenPlasma (en particulier SetPolicyVal), il s’avère que ‘cldflt!HsmOsBlockPlaceholderAccess’ est toujours vulnérable au même problème qui a été signalé à Microsoft il y a 6 ans », a déclaré Eclipse.
Le chercheur aurait été en désaccord avec la façon dont Microsoft a géré la divulgation de BlueHammer, ce qui rendait sa série ultérieure de PoC de vulnérabilité Windows particulièrement intéressante.
« Au cours des dernières semaines, Nightmare-Eclipse a publié une série incessante de divulgations de type zero-day/régression », a souligné Sarkar. « Le timing est révélateur, le MiniPlasma a été publié le 13 mai 2026, exactement un jour après le cycle du Patch Tuesday de Microsoft de mai, garantissant que les défenseurs n’auront pas de correctif officiel du fournisseur pendant des semaines. Mais oui, c’est exactement là que la microsegmentation intégrée aux plates-formes EDR existantes est utile. «
