日前因对微软漏洞通报流程不满的安全研究人员Chaotic Eclipse（Nightmare-Eclipse），最近两个月在微软发布例行更新（Patch Tuesday）前后公开了一系列零日漏洞。其中，今年4月公开的多项Microsoft Defender漏洞后续被发现已被用于实际攻击。上周末，该研究人员披露了一个新的漏洞，但与以往不同的是，此次披露的漏洞早在多年前就已被通报，却一直未获修复。

上周末，Chaotic Eclipse公布了安全漏洞MiniPlasma，并强调该漏洞并非他首次发现，而是Google Project Zero团队于2020年9月向微软报告，漏洞编号为CVE-2020-17103。微软在2020年12月的例行安全更新中发布了补丁。然而，Chaotic Eclipse在调查零日漏洞GreenPlasma的过程中发现，本应已被修复的云过滤驱动程序功能HsmOsBlockPlaceholderAccess仍存在漏洞——该问题实际上早在6年前就被通报，微软当时也声称已完成修复。但根据他的调查，这一漏洞至今仍未解决，且Google当年提供的概念验证代码（PoC）无需修改即可正常运行。对于MiniPlasma为何仍存在，Chaotic Eclipse推测可能是补丁代码在某个时间点被回滚或覆盖，也不排除微软根本未实施修复，具体原因尚待微软进一步说明。

针对MiniPlasma的影响，Chaotic Eclipse调整了Google最初提供的概念验证代码，并指出一旦成功利用，攻击者即可获得SYSTEM权限的Shell。根据微软原始公告，该漏洞存在于Cloud Files Mini Filter Driver组件中，属于权限提升漏洞，CVSS风险评分为7.0，严重程度被定为“重要”。Tharros首席漏洞分析师Will Dormann以及安全新闻网站Bleeping Computer均确认MiniPlasma真实存在。Dormann在多个版本的Windows 11上进行了测试，发现在已安装今年5月更新的25H2和26H1版本中仍可成功获取SYSTEM权限。不过，Dormann也提到，测试版Windows 11 Insider Preview Canary（构建版本28020.2075）似乎已对该漏洞进行了修复。