Windows 11 KB5089549 तुमची प्रणाली ताब्यात घेण्यासाठी घातक रेजिस्ट्री हॅकसह लावले जाऊ शकते
नवीन PoC शोषण सूचित करते की मायक्रोसॉफ्टचे पूर्वीचे सुरक्षा पॅच असूनही दीर्घकाळापासून Windows LPE असुरक्षा शोषण करण्यायोग्य राहते.
18 मे 2026 03:08 EDT
नवीन प्रकाशित प्रूफ-ऑफ-कॉन्सेप्ट (PoC) शोषणाने विंडोजच्या असुरक्षिततेवर नूतनीकरण केले आहे जे संशोधकांचे म्हणणे आहे की Microsoft कडून पूर्वीच्या सुरक्षा निराकरणानंतरही पूर्णपणे निराकरण केले गेले नाही. “मिनीप्लाझ्मा” म्हणून सार्वजनिक भांडारात सोडलेले शोषण, विंडोज क्लाउड फाइल्स मिनी फिल्टर ड्रायव्हर, cldflt.sys चा समावेश असलेली स्थानिक विशेषाधिकार वाढ (LPE) समस्या दर्शवते. रेपॉजिटरीच्या देखभाल करणाऱ्या, नाईटमेअर-एक्लिप्सच्या मते, ज्याने अलीकडे “वरील तपशील देखील उघड केला आहे.ग्रीनप्लाझ्मा,” MiniPlasma दोष हा ID CVE-2020-17103 अंतर्गत ट्रॅक केलेल्या Google Project Zero अंक 42451192 शी जवळून संबंधित दिसतो.
कोणासही आश्चर्य वाटत असेल, Windows Cloud Files Mini Filter Driver (cldflt.sys) एक कर्नल-स्तरीय फाइल सिस्टम मिनीफिल्टर आहे जो OneDrive च्या फाइल्स ऑन-डिमांड सारख्या क्लाउड-सिंक वैशिष्ट्यांना समर्थन देतो. फाइल सिस्टम मिनीफिल्टर्स विंडोजच्या फाइल I/O स्टॅकला संलग्न करतात आणि ते स्टोरेजपर्यंत पोहोचण्यापूर्वी फाइल ऑपरेशन्सचे निरीक्षण, फिल्टर किंवा सुधारण्यात मदत करतात. मायक्रोसॉफ्टचे क्लाउड फाइल्स API समक्रमित प्रदात्यांना प्लेसहोल्डर फाइल्स तयार करू देते ज्या स्थानिकरित्या दिसत असताना सामग्री क्लाउडमध्ये प्रवेश होईपर्यंत राहते. मूलत:, cldflt.sys हे प्लेसहोल्डर्स, सिंक्रोनाइझेशन स्टेटस आणि क्लाउड-बॅक्ड फाइल ऍक्सेस Windows Explorer मध्ये पारदर्शकपणे व्यवस्थापित करण्यात मदत करते.
प्रोजेक्ट डॉक्युमेंटेशनमध्ये, डेव्हने असे म्हटले आहे की असुरक्षा मूलतः Microsoft ला Google Project Zero ने अंदाजे सहा वर्षांपूर्वी कळवली होती (जसे CVE ID वरून स्पष्ट होते) आणि त्या वेळी पॅच केले गेले असे मानले जात होते (Windows 10 वर संबोधित केलेले दिसते. KB4592438 अद्यतन). तथापि, पूर्वीच्या संशोधनाची पुनरावृत्ती केल्यानंतर लेखकाच्या लक्षात आले की तीच मूळ समस्या सध्याच्या विंडोज प्रणालींमध्ये, अगदी नवीनतम पॅच केलेल्या प्रणालींमध्ये देखील अस्तित्वात असू शकते.
याचा अर्थ सर्वात नवीन Windows 11 KB5089549 पॅच मंगळवार अपडेटगेल्या आठवड्यात रिलीज झालेला सुद्धा याला बळी पडू शकतो. Nightmare-Eclipse नोंदवते की Google चे मूळ PoC “कोणतेही बदल न करता” कार्य करत राहिले, ज्याने मूळ शमन अपूर्ण होते की नंतर उलट केले याबद्दल प्रश्न निर्माण होतो, कारण Google ने समस्येची स्थिती “निश्चित” म्हणून चिन्हांकित केली आहे.
शोषण विशेषत: cldflt.sys मधील HsmOsBlockPlaceholderAccess रूटीनला लक्ष्य करते आणि .DEFAULT वापरकर्त्यांच्या पोळ्यामध्ये अनियंत्रित रजिस्ट्री की लावते, जे मूलत: LPE कडे जाते. लेखकाचे म्हणणे आहे की कमी-विशेषाधिकारित खात्यातून संपूर्ण विशेषाधिकार वाढीचे प्रभावीपणे प्रदर्शन करणाऱ्या सिस्टम-स्तरीय शेलला तयार करण्यासाठी कोडचे रुपांतर केले गेले. शोषण आहे वर्णन केले आहे रेस-कंडिशनवर अवलंबून आहे, याचा अर्थ सिस्टम वेळ आणि कॉन्फिगरेशनवर अवलंबून त्याची विश्वसनीयता बदलू शकते.
सुरक्षा संशोधक विल डॉर्मन यांनी पीओसीची चाचणी केली आणि पुष्टी केली हे यशस्वीरित्या सिस्टम विशेषाधिकार वाढवण्यास कारणीभूत ठरले, जरी मनोरंजकपणे, त्यांनी असेही जोडले की शोषण “” वर कार्य करत नाहीनवीनतम इनसाइडर पूर्वावलोकन कॅनरी विंडोज 11अशा प्रकारे कदाचित शेवटी मायक्रोसॉफ्ट असेल त्याचे निराकरण करत आहे (पुन्हा?) सहा वर्षांनी; तरीही मंगळवारच्या पॅचमध्ये हे पाहण्यासाठी काही वेळ लागेल.
