L’exploit, apparu en ligne sous le nom de MiniPlasma, cible un composant de Windows 11 chargé de la gestion des fichiers dans le cloud. Selon les chercheurs, le problème serait lié à une vulnérabilité déjà signalée en 2020 par Google Project Zero et considérée à l’époque comme résolue.
Une faille dans le système de fichiers cloud de Windows 11
L’attaque porte sur cldflt.sys, le Windows Cloud Files Mini Filter Driver. Ce composant système garantit le bon fonctionnement de fonctionnalités telles que OneDrive Files On-Demand. Windows utilise ce pilote pour gérer ce qu’on appelle des fichiers « placeholder » : des fichiers visibles dans l’Explorateur mais qui ne sont téléchargés localement qu’au moment où vous les ouvrez.
Selon le développeur à l’origine de MiniPlasma, il semblerait qu’il y ait encore une faille à cet endroit précis. En exploitant certains paramètres du registre, un utilisateur disposant de droits limités peut finalement s’élever au niveau SYSTEM, le niveau de droits le plus élevé sous Windows. La nouvelle preuve de concept montre comment l’exploit peut placer des clés de registre aléatoires dans la ruche utilisateur .DEFAULT de Windows. À partir de là, un attaquant peut ouvrir un shell SYSTEM et prendre le contrôle total du système.
Peut-être toujours présent dans les mises à jour récentes de Windows
Il est frappant de constater que, selon le chercheur, l’exploit original de Google Project Zero fonctionne toujours sans modification. Cela soulève des questions quant au correctif précédent de Microsoft. Officiellement, la vulnérabilité avait déjà reçu le statut « résolue » il y a des années, mais les nouvelles découvertes suggèrent que le correctif était peut-être incomplet ou qu’il est redevenu vulnérable par la suite.
Le chercheur en sécurité Will Dormann a entre-temps confirmé que l’exploit fonctionne effectivement sur les versions actuelles de Windows. Sur les récentes versions Insider Canary de Windows 11, le problème ne serait toutefois plus reproductible. Cela pourrait indiquer que Microsoft travaille déjà en interne sur une nouvelle solution.
Pour l’instant, aucun correctif officiel ne semble encore disponible pour les utilisateurs lambda de Windows. Comme il s’agit d’une élévation de privilèges locale, un attaquant doit déjà avoir accès au système, mais une fois exécuté, l’exploit peut lui conférer un contrôle total. Cela le rend particulièrement pertinent pour les logiciels malveillants, les scripts malveillants ou les attaques dans lesquelles un PC est déjà partiellement compromis.
