Chaotic Eclipse takma adlı bir siber güvenlik araştırmacısı, tamamen güncellenmiş Windows sistemlerinde saldırganların SYSTEM ayrıcalıkları elde etmesine olanak tanıyan “MiniPlasma” adlı bir ayrıcalık yükseltme açığı için kavram kanıtı kod yayınladı. Araştırmacı, daha önce 2020 yılında Google Project Zero araştırmacısı James Forshaw tarafından rapor edilen ve Microsoft tarafından Aralık 2020’de düzeltildiği belirtilen güvenlik açığının aslında hala var olduğunu iddia ediyor. GitHub üzerinden hem kaynak kodunu hem de derlenmiş çalıştırılabilir dosyayı paylaşan araştırmacıya göre, zafiyet ‘cldflt.sys’ Cloud Filter sürücüsü ve onun ‘HsmOsBlockPlaceholderAccess’ rutinini etkiliyor.

MiniPlasma Nasıl Çalışıyor ve Hangi Sistemleri Etkiliyor?

BleepingComputer’ın yaptığı testlerde, Mayıs 2026 Patch Tuesday güncellemelerinin yüklü olduğu tamamen güncel bir Windows 11 Pro sisteminde standart bir kullanıcı hesabıyla çalıştırılan istismar kodu, yetkili bir komut istemi açarak SYSTEM ayrıcalıkları elde etmeyi başardı. Tharros’ta baş güvenlik açığı analisti Will Dormann da zafiyetin Windows 11’in en son herkese açık sürümünde çalıştığını doğrularken en yeni Windows 11 Insider Preview Canary yapısında sorunun görülmediğini belirtti.

İstismar, Windows Cloud Filter sürücüsünün belgelenmemiş CfAbortHydration API’si aracılığıyla kayıt defteri anahtarı oluşturma şeklini kötüye kullanıyor gibi görünüyor. Forshaw’ın orijinal raporuna göre, zafiyet uygun erişim kontrolleri olmadan .DEFAULT kullanıcı kayıt defteri havuzunda keyfi kayıt defteri anahtarlarının oluşturulmasına izin vererek ayrıcalık yükseltmeye olanak tanıyordu. Araştırmacı, Microsoft’un sorunu Aralık 2020’de düzelttiğini iddia ettiği CVE-2020-17103 numaralı zafiyetin aslında hala istismar edilebilir durumda olduğunu iddia ediyor.

MiniPlasma, araştırmacının son birkaç hafta içinde yayınladığı bir dizi Windows sıfırıncı gün açığının son halkası konumunda. Nisan ayında CVE-2026-33825 numarasıyla takip edilen BlueHammer adlı bir Windows yerel ayrıcalık yükseltme zafiyeti ile başlayan ifşa süreci, ardından RedSun adlı başka bir ayrıcalık yükseltme açığı ve UnDefend adlı bir Windows Defender hizmet reddi aracı ile devam etti. Bu üç güvenlik açığının da ifşa edildikten sonra saldırılarda kullanıldığı tespit edildi.

Bu ay içinde araştırmacı ayrıca YellowKey ve GreenPlasma adında iki istismar daha yayınladı. YellowKey, Windows 11 ve Windows Server 2022/2025’i etkileyen ve yalnızca TPM tabanlı BitLocker yapılandırmalarıyla korunan sürücülere erişim sağlayan bir komut kabuğu oluşturan bir BitLocker atlama zafiyeti olarak öne çıkıyor. Araştırmacı, Microsoft’un RedSun sorununu sessizce yamaladığını ancak buna herhangi bir CVE numarası atamadığını da iddia ediyor.

Chaotic Eclipse, daha önce bu Windows sıfırıncı gün açıklarını Microsoft’un hata ödülü ve zafiyet işleme sürecine tepki olarak kamuya açıkladığını belirtmişti. Araştırmacı, “Normalde bir hatayı düzeltmeleri için yalvarmak üzere süreci işletecektim ancak özetlemek gerekirse, bana hayatımı mahvedeceklerini söylediler ve bunu yaptılar. Bu korkunç deneyimi yaşayan tek kişi ben miyim yoksa birkaç kişi mi bilmiyorum ama çoğu kişi bunu sindirip kaybını kabullenirdi. Benim için her şeyimi aldılar” ifadelerini kullandı.

Microsoft daha önce BleepingComputer’a yaptığı açıklamada, sorumlu güvenlik açığı ifşasını desteklediğini ve bildirilen güvenlik sorunlarını araştırmaya, müşterileri güncellemelerle korumaya kendini adamış olduğunu belirtmişti. BleepingComputer, yeni sıfırıncı gün açığı hakkında Microsoft’a ulaştığını ve bir yanıt alındığında haberi güncelleyeceğini duyurdu.