Nhà nghiên cứu công bố khai thác MiniPlasma cho lỗi Windows chưa được vá từ năm 2020

Một nhà nghiên cứu bảo mật vừa công bố mã khai thác nhắm vào một lỗ hổng Windows được tiết lộ từ năm 2020, đưa ra cảnh báo rằng lỗi này có thể chưa bao giờ được Microsoft vá chính thức.

Lỗ hổng này được theo dõi dưới mã định danh CVE-2020-17103 (điểm CVSS 7.0), được mô tả là vấn đề leo thang đặc quyền (privilege escalation) nằm trong trình điều khiển Windows Cloud Filter.

Màn hình xanh lỗi Windows

Lịch sử của lỗ hổng

Các nhà nghiên cứu của Google Project Zero đã báo cáo điểm yếu này vào năm 2020. Vào thời điểm đó, Microsoft đã tung ra các bản sửa lỗi như một phần của bản cập nhật bảo mật Patch Tuesday vào tháng 12 năm 2020.

Theo báo cáo của Project Zero về CVE-2020-17103, trình điều khiển Windows Cloud Filter bị lỗi cho phép thao tác khóa registry thông qua một API chưa được tài liệu hóa.

"Một kẻ tấn công có thể sử dụng phiên mạng mạng chưa được xác thực để tạo một khóa trong tổ hive người dùng DEFAULT mà không cần kiểm tra quyền truy cập, cho phép leo thang đặc quyền và có khả năng dẫn đến thực thi mã hệ thống," báo cáo cho biết.

Mã khai thác MiniPlasma xuất hiện

Gần đây, một nhà nghiên cứu an ninh mạng với biệt danh Chaotic Eclipse và Nightmare Eclipse đã phát hành MiniPlasma — một mã khai thác nhắm vào khiếm khuyết bảo mật này để tạo ra một System shell.

Nhà nghiên cứu này cho biết mã bằng chứng khái niệm (PoC) gốc do các nhà nghiên cứu Project Zero phát hành vẫn hoạt động bình thường mà không cần thay đổi. Điều này ám chỉ rằng lỗ hổng chưa bao giờ được giải quyết triệt để hoặc các bản vá đã bị Microsoft thu hồi.

"Sau khi điều tra, hóa ra vấn đề chính xác giống hệt như Google Project Zero đã báo cáo cho Microsoft thực sự vẫn còn tồn tại và chưa được vá," Chaotic Eclipse tuyên bố.

Hình ảnh minh họa bảo mật

Đây không phải là lần đầu tiên Chaotic Eclipse công bố mã khai thác cho các lỗ hổng chưa được vá trong sản phẩm của Microsoft. Gần đây, người này cũng đã tung ra các công cụ như BlueHammer, YellowKey và GreenPlasma, bày tỏ sự không hài lòng về cách gã khổng lồ công nghệ xử lý các báo cáo lỗ hổng.

Xác thực từ chuyên gia

Theo Will Dormann, chuyên gia phân tích lỗ hổng cấp cao tại Tharros Labs, MiniPlasma hoạt động trên các hệ thống Windows 11 đã cài đặt các bản cập nhật bảo mật tháng 5 năm 2026.

Tuy nhiên, Dormann cũng lưu ý thêm: "Tôi xin lưu ý rằng dường như nó không hoạt động trên bản xem trước Insider Preview Canary mới nhất của Windows 11."

SecurityWeek đã gửi email cho Microsoft để yêu cầu đưa ra tuyên bố về vấn đề này và sẽ cập nhật bài viết nếu công ty phản hồi.