L’histoire de la faille débute en 2020. En septembre de cette année-là, James Forshaw, chercheur chez Google Project Zero, signale une faille critique à Microsoft. Cette vulnérabilité se situe dans un composant appelé le « Cloud Filter driver », qui est chargé de la gestion de la synchronisation des fichiers entre votre PC et des services cloud, comme OneDrive.
Sans tarder, Microsoft a reconnu qu’un problème touchait le composant. L’éditeur américain a promptement référencé la faille. Quelques mois plus tard, Microsoft a déployé un correctif pour colmater la brèche. L’histoire aurait pu s’arrêter là, mais, près de six ans plus tard, un chercheur en cybersécurité a démontré que le correctif de Microsoft n’a jamais vraiment fonctionné.
À lire aussi : Nouvelle cyberattaque sur Windows et Linux – ce logiciel gratuit, utilisé par des millions d’utilisateurs, a été piégé
Une faille toujours exploitable
Le chercheur, officiant sous le pseudonyme de Chaotic Eclipse, a publié sur GitHub une démonstration technique complète montrant qu’il est toujours possible d’exploiter la vulnérabilité. Notez que l’exploit est largement basé sur la méthode imaginée par Google en 2020. Il ne s’est pas arrêté là. Il a aussi mis en ligne un programme que n’importe qui peut télécharger et utiliser pour exploiter la faille. Sur GitHub, le chercheur a intitulé la faille « MiniPlasma ».
« Je ne sais pas avec certitude si Microsoft n’a jamais appliqué le correctif ou si celui-ci a été silencieusement annulé à un moment donné pour des raisons inconnues », déclare Chaotic Eclipse sur Github.
Comme l’a démontré le chercheur, la faille découle d’une mauvaise gestion des droits d’accès dans le composant Cloud Filter. En se servant de fonctions non documentées, qui n’ont jamais été officialisées par Microsoft, il a prouvé qu’il était possible de créer à loisir des clés dans des zones sensibles du registre Windows, sans avoir les permissions nécessaires. Il s’agit de la base de données interne qui contrôle le comportement de tout le système d’exploitation.
À lire aussi : Des milliers de PC Windows ont été piratés par des hackers chinois, mais l’intrusion a été colmatée
Des failles Windows inédites
De fil en aiguille, un attaquant peut parvenir à obtenir des privilèges au niveau du système, c’est-à-dire le niveau le plus haut qui soit. Will Dormann, analyste principal en vulnérabilités chez Tharros, a pu confirmer que la faille permettait effectivement d’obtenir des privilèges système sans avoir les autorisations nécessaires. C’est également le cas de nos confrères de Bleeping Computer, qui ont testé avec succès la méthode d’exploitation sur un ordinateur sous Windows 11 Pro. La faille est bien présente sur les ordinateurs qui ont installé les correctifs les plus récents, dont le Patch Tuesday de mai 2026.
Notez que Chaotic Eclipse n’en est pas à son coup d’essai. Depuis le mois dernier, il publie régulièrement des failles Windows inédites pour pousser Microsoft à agir avec un correctif. Avant MiniPlasma, il a déjà divulgué BlueHammer, une faille dans Windows Defender corrigée en urgence par Microsoft, ainsi que YellowKey et GreenPlasma, deux autres vulnérabilités dont l’une permettait de contourner le chiffrement BitLocker.
Un correctif en approche ?
Bonne nouvelle, la faille MiniPlasma ne semble pas fonctionner sur les versions Insider Preview Canary de Windows 11, les versions de test réservées aux développeurs. Il est donc possible qu’un correctif soit en cours de conception chez Microsoft. Pour le moment, l’éditeur n’a pas communiqué officiellement sur la faille. Jusqu’à ce qu’un patch soit disponible, il est conseillé de ne pas télécharger ni d’exécuter de programmes provenant de sources inconnues. On recommande aussi de limiter les droits des comptes utilisateurs sur vos machines. Cette faille nécessite en effet qu’un pirate ait déjà un pied dans votre ordinateur.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
