Windows 系統近期被揭露一個名為 MiniPlasma 的零日漏洞,這個漏洞最令人擔心的點在於,即便使用者已經安裝了所有最新的安全性更新,系統依然處於完全打補丁的狀態,依然可能被利用。這類漏洞被稱為權限提升(Privilege Escalation),簡單來說,就是讓一個只有一般使用者權限的攻擊者,能夠非法取得系統最高權限 SYSTEM。
了解權限提升的重要性
在 Windows 的安全模型中,權限是分層的。一般使用者權限僅能操作自己的檔案與設定,而 SYSTEM 權限則是系統的核心權限,幾乎可以對電腦進行任何操作,包括修改系統檔案、安裝惡意軟體、讀取其他使用者的私密資料或關閉防毒軟體。如果攻擊者能透過漏洞將權限從一般使用者提升到 SYSTEM,就等同於完全接管了該台電腦。
漏洞發生的核心:cldflt.sys 驅動程式
這次漏洞的核心在於一個名為 cldflt.sys 的檔案,這是 Windows Cloud Files Mini Filter Driver,也就是 Windows 雲端檔案微過濾驅動程式。這個驅動程式的主要作用是處理雲端同步檔案(例如 OneDrive)在本地端的虛擬化呈現,讓使用者感覺檔案在硬碟上,但實際上可能是在雲端。
問題出在該驅動程式中一個名為 HsmOsBlockPlaceholderAccess 的常式(Routine)。這個常式在處理檔案存取請求時存在邏輯缺陷,導致攻擊者可以利用這個漏洞來觸發非預期的系統行為。
補丁失效的詭異現象
MiniPlasma 的案例在資安圈引起討論,是因為它揭露了補丁管理可能的失效。事實上,這個問題早在 2020 年就被 Google Project Zero 的研究員發現並回報給微軟,當時微軟在 2020 年 12 月發布了 CVE-2020-17103 補丁,理論上應該已經修復。
然而,研究員 Chaotic Eclipse 發現,雖然官方宣稱已修復,但同樣的漏洞依然存在於最新的 Windows 版本中。這意味著微軟當時的修復可能不完全,或者在後續的版本更新中,該修復被意外地還原(Rollback)了。
技術實作:競態條件與可靠性
從技術實作角度來看,MiniPlasma 利用的是一種稱為競態條件(Race Condition)的漏洞類型。競態條件是指系統在執行多個併發操作時,由於執行順序或時間差,導致系統進入錯誤的狀態。
在 MiniPlasma 的攻擊流程中,攻擊者需要精準地在系統處理檔案存取請求的極短時間內觸發特定操作。由於依賴時間差,這種攻擊的成功率並非百分之百,可能會因為 CPU 速度、系統負載等因素而有所不同。但根據研究員的測試,在 Windows 11 的最新版本上,這種方法依然能穩定地開啟一個具有 SYSTEM 權限的命令提示字元(cmd.exe)。
目前影響範圍與限制
目前看來,幾乎所有版本的 Windows 都受到影響。唯一的例外是部分 Windows 11 Insider Preview Canary(開發者預覽版)似乎不再受此漏洞影響,這暗示微軟可能在最新的開發分支中才真正解決了這個問題。
值得注意的是,cldflt.sys 這個組件之前在 2025 年底也爆發過另一個權限提升漏洞(CVE-2025-62221),且當時已被確認在野外被利用。這顯示出雲端檔案驅動程式的複雜性使其成為攻擊者的熱門目標。
總結與建議
對於工程師而言,這個案例提醒我們兩件事:第一,即使是經過官方修復的漏洞,仍有機會在未來的版本中重新出現(Regression);第二,核心驅動程式(Driver)因為直接運行在內核模式(Kernel Mode),一旦出現權限漏洞,其影響力將直接決定整台機器的生死。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。