Un exploit public permettrait d’obtenir les privilèges SYSTEM sur des machines Windows 11 pourtant à jour. Baptisé MiniPlasma, il viserait un pilote lié aux fonctions cloud du système et s’appuierait, selon son auteur, sur une faille signalée à Microsoft dès 2020.
Déjà très occupé à multiplier les publications de preuves de concept permettant d’abuser de failles Windows ces dernières semaines, Chaotic Eclipse vient de remettre une pièce dans la machine. Le chercheur a récemment mis en ligne MiniPlasma, un exploit capable d’élever les privilèges d’un compte utilisateur standard au niveau SYSTEM, soit le plus haut niveau d’accès sur Windows 11. Une divulgation qui fait tache pour Microsoft, puisque l’outil fonctionnerait bel et bien, y compris sur des installations corrigées avec le dernier Patch Tuesday.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
MiniPlasma rouvre un dossier que Microsoft pensait clôt
Dans le détail, MiniPlasma vise cldflt.sys, le pilote Windows associé au Cloud Filter. Derrière ce nom un peu obscur se trouve l’un des composants qui permettent à Windows d’afficher dans l’Explorateur des fichiers synchronisés avec un service cloud, même s’ils ne sont pas totalement stockés sur le PC, puis de les récupérer localement au moment de leur ouverture.
C’est dans cette gestion intermédiaire, entre fichier visible en ligne et récupération locale, que MiniPlasma trouverait sa prise. D’après Chaotic Eclipse, l’exploit tirerait parti d’un traitement interne lié à ces fichiers cloud partiellement présents sur la machine pour provoquer des écritures dans le Registre Windows sans les contrôles d’accès attendus, jusqu’à élever les privilèges d’un compte utilisateur basique au niveau SYSTEM.
Problème embarrassant, la faille avait déjà été signalée à Microsoft en 2020 par James Forshaw, de Google Project Zero, puis référencée sous le numéro CVE-2020-17103, avant d’être annoncée comme corrigée lors du Patch Tuesday de décembre de la même année. Correctif incomplet, régression ultérieure ou faille jamais réellement neutralisée, difficile de statuer. Toujours est-il que BleepingComputer a confirmé avoir testé l’exploit sur une machine Windows 11 Pro à jour, correctifs de sécurité de mai 2026 inclus, et être parvenu à lancer une invite de commandes avec les privilèges SYSTEM depuis un compte utilisateur standard.
Limiter les risques en attendant un vrai patch
Pour l’heure, Microsoft n’a pas encore réagi officiellement à la publication de MiniPlasma. En attendant un correctif pour les versions stables de Windows, il faut donc traiter la faille pour ce qu’elle est, à savoir un risque d’élévation de privilèges après un premier accès à la machine. L’exploit ne permet pas, à lui seul, de compromettre un PC à distance, mais il peut donner les pleins pouvoirs à un attaquant ou à un malware déjà présent sur le système.
Par conséquent, il faudra veiller à se montrer plus strict que d’habitude avec les exécutables, archives et outils récupérés hors de sources fiables, et surtout installer les prochaines mises à jour dès leur disponibilité.
En entreprise, il faudra également renforcer la surveillance du Registre et suivre les modifications apportées aux chemins \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps* et \Registry\User\.DEFAULT\Volatile Environment*, qui pourraient signaler une tentative d’exploitation.
Le compte SYSTEM (aussi appelé LocalSystem) est le niveau de privilèges le plus élevé sur une machine Windows, au-dessus d’un administrateur local dans de nombreux scénarios. Il donne un accès quasi total au système : services, pilotes, fichiers protégés et une grande partie du Registre. Une élévation de privilèges vers SYSTEM permet souvent de désactiver des protections, d’installer de la persistance et de manipuler des composants sensibles sans être bloqué. En revanche, ce type de faille ne donne pas forcément un accès à distance : il faut généralement déjà pouvoir exécuter du code sur la machine (compte utilisateur compromis, malware, session ouverte).
À quoi sert le pilote cldflt.sys et le composant Cloud Filter dans Windows ?cldflt.sys est un pilote lié au Cloud Filter, un mécanisme qui permet à l’Explorateur d’afficher des fichiers « présents dans le cloud » comme s’ils étaient sur le PC. Concrètement, Windows peut montrer des “placeholders” (fichiers visibles mais pas entièrement téléchargés) et ne rapatrier le contenu complet qu’au moment de l’ouverture ou de l’usage. Cette logique repose sur des interactions bas niveau entre le système de fichiers, le pilote et le fournisseur cloud (comme OneDrive ou une solution d’entreprise). Comme c’est un composant proche du noyau, une erreur de contrôle d’accès ou de validation dans ce chemin peut avoir des conséquences plus graves qu’un bug applicatif classique.
En quoi consiste une élévation de privilèges via des écritures non autorisées dans le Registre Windows ?Le Registre Windows contient des paramètres utilisés par le système, les services et certaines politiques de sécurité. Si un processus peu privilégié parvient à écrire dans des clés normalement protégées, il peut modifier des comportements sensibles (chargement de composants, politiques, variables d’environnement, configuration de services). Une attaque d’élévation de privilèges consiste souvent à détourner ces paramètres pour faire exécuter du code dans un contexte plus privilégié (service, tâche planifiée, composant système). La gravité dépend surtout des clés visées et du fait que l’écriture contourne les ACL (listes de contrôle d’accès) prévues pour empêcher ce type de modification.
