MiniPlasma, c’est le nom d’une faille zero-day Windows dévoilée par le chercheur Chaotic Eclipse. Cet exploit permet à un attaquant d’obtenir un accès avec les privilèges SYSTEM, et ce, même sur des machines Windows 11 entièrement à jour. Voici ce que l’on sait.

MiniPlasma : la réapparition d’une faille de 2020

Le chercheur Chaotic Eclipse (appelé aussi Nightmare Eclipse) continue de se déchaîner contre Microsoft : il a publié sur GitHub un code d’exploitation (PoC) à propos d’une vulnérabilité surnommée MiniPlasma.

L’exploit MiniPlasma met en lumière une faille située sur Windows et il cible précisément le pilote Cloud Filter () en exploitant une faiblesse dans la manière dont la routine gère le registre. L’attaque consiste à utiliser l’API , une fonction non documentée par l’éditeur, et qui permet d’injecter des clés directement dans la ruche utilisateur . Le problème, c’est que les vérifications de sécurité sont contournées lors de l’opération, et donc cet exploit ouvre la porte à l’obtention des privilèges SYSTEM.

Par exemple, l’exploitation de cette vulnérabilité permet d’obtenir une Invite de commandes avec les privilèges SYSTEM (y compris avec le patch de mai 2026 installé). Cela permet de tout faire sur le système Windows.

Comme l’explique Chaotic Eclipse, cette vulnérabilité n’est pas nouvelle. “Après vérification, il s’avère que le problème signalé à Microsoft par Google Project Zero est toujours présent, sans avoir fait l’objet d’un correctif. Je ne sais pas si Microsoft n’a tout simplement jamais corrigé ce problème ou si le correctif a été discrètement annulé à un moment donné pour des raisons inconnues. Le PoC original de Google fonctionnait sans aucune modification.”, peut-on lire sur GitHub.

En effet, cet exploit surnommé MiniPlasma correspondrait à une faille signalée à l’origine en septembre 2020 par James Forshaw : la CVE-2020-17103. Microsoft l’avait, en principe, patchée à l’occasion du Patch Tuesday de décembre 2020. Mais, apparemment, il y a eu un loupé.

La vengeance d’un chercheur contre Microsoft…

Depuis plusieurs semaines, Chaotic Eclipse enchaîne les publications de failles zero-day critiques sur Windows… Tout cela a commencé par trois failles de sécurité relatives à Windows Defender, puis il s’est ensuite attaqué à d’autres composants comme BitLocker.

L’occasion de faire un petit récapitulatif :

• BlueHammer (CVE-2026-33825) et RedSun (pas d’identifiant CVE) : élévation de privilèges locales.
• UnDefend : un outil de déni de service ciblant Windows Defender (exploité dans des attaques avec les deux autres failles Defender)
• YellowKey : un contournement de BitLocker permettant d’accéder aux disques chiffrés sur Windows 11 et Windows Server 2022/2025.
• GreenPlasma : un autre exploit dévoilé ce mois-ci aux côtés de YellowKey, dont l’exploitation passe par Windows CTFMON.

Pour rappel, les motivations de Chaotic Eclipse s’inscrivent dans une démarche de protestation contre le processus de Bug Bounty et de gestion des vulnérabilités de Microsoft. Ce n’est sûrement pas terminé, car il a prévu d’autres surprises…