セキュリティ研究者 Chaotic Eclipse (別名 Nightmare Eclipse) が、Windows の Cloud Files Mini Filter Driver (cldflt.sys) を悪用する新たな権限昇格 0-day『MiniPlasma』の概念実証コードを公開しました。BleepingComputer のテストでは最新の May 2026 Patch Tuesday 適用済み Windows 11 Pro でも、標準ユーザー権限から SYSTEM 権限のコマンドプロンプトを起動できることが確認されています。
主なポイント
- 影響箇所は
cldflt.sysのHsmOsBlockPlaceholderAccessルーチン。2020 年 9 月に Google Project Zero の James Forshaw が報告し、Microsoft が 2020 年 12 月に CVE-2020-17103 で修整したと考えられていたが、Chaotic Eclipse は「同じ問題が依然として未修整のまま残存している」と指摘 - 攻撃前提は標準ユーザー権限のローカル実行のみ。PoC は GitHub に公開済みで、即座に SYSTEM 権限シェルへ昇格できる
- これは Chaotic Eclipse による 4 月以降の Windows 0-day 連続開示の最新弾。4 月の
BlueHammer(CVE-2026-33825)、RedSun、UnDefend(Windows Defender DoS)、5 月 13 日の BitLocker バイパス『YellowKey』と CTFMON 権限昇格『GreenPlasma』に続く - Microsoft はまだパッチ・CVE 番号ともに割り当てておらず、ユーザーは EDR でのフックや least-privilege 運用、cldflt 関連挙動の監視で当面の対応を迫られる
- ローカル権限が必要なため初期侵入には使えないが、フィッシングや既存のリモート脆弱性と連鎖させれば SYSTEM 級の完全制御に到達できる
出典: New Windows 'MiniPlasma' zero-day exploit gives SYSTEM access, PoC released