새 Windows ‘MiniPlasma’ 제로데이, SYSTEM 권한 획득·PoC 공개

Source: Slashdot

개요

연구원 Chaotic Eclipse가 MiniPlasma라 명명된 새로운 Windows 제로데이용 개념 증명(Proof‑of‑Concept, PoC) 익스플로잇을 공개했습니다. BleepingComputer는 이 익스플로잇이 완전하게 패치된 Windows 11 시스템에서도 SYSTEM 권한을 부여할 수 있음을 확인했습니다. 이 버그는 Microsoft가 2020년 12월에 수정했다고 발표한 2020년 결함(CVE‑2020‑17103)의 아직도 악용 가능한 버전으로 보입니다.

“조사를 해보니, Google Project Zero가 Microsoft에 보고한 바로 그 문제가 아직도 존재하고, 패치되지 않은 상태였습니다,” 라고 Chaotic Eclipse는 설명합니다. “Microsoft가 이 문제를 전혀 패치하지 않았는지, 아니면 어떤 이유로 패치가 조용히 롤백됐는지는 확실치 않습니다. Google이 만든 원본 PoC는 전혀 수정 없이도 동작했습니다.”

취약점 상세

• 대상 구성 요소: Windows Cloud Filter 드라이버
• 악용된 API: 문서화되지 않은 CfAbortHydration
• 영향: 적절한 접근 검사 없이 .DEFAULT 사용자 하이브에 임의의 레지스트리 키를 생성할 수 있어, 권한 상승을 가능하게 함.

이 결함은 원래 CVE‑2020‑17103으로 보고되었으며 2020년 12월 Patch Tuesday에 수정된 것으로 알려졌습니다. Chaotic Eclipse의 조사 결과, 해당 취약점은 여전히 악용 가능함을 시사합니다.

테스트 및 확인

• 환경: 최신 2026년 5월 Patch Tuesday 업데이트가 적용된 완전 패치된 Windows 11 Pro 시스템.
• 방법: 일반 사용자 계정에서 PoC를 실행함.
• 결과: SYSTEM 권한을 가진 명령 프롬프트가 열림 (이미지 [여기] 참조).

추가 검증:

• Tharros의 수석 취약점 분석가 Will Dormann은 최신 공개 버전의 Windows 11에서도 이 익스플로잇이 동작한다는 것을 확인했습니다.
• 이 결함은 최신 Windows 11 Insider Preview Canary 빌드에서는 동작하지 않습니다.

영향

패치되지 않은 경우, MiniPlasma는 공격자가 영향을 받는 Windows 11 설치에서 SYSTEM 수준 접근 권한을 획득하게 하여 일반 사용자 제한을 우회하고 시스템 전체를 장악할 수 있게 합니다.

참고 자료

• BleepingComputer의 MiniPlasma 익스플로잇 분석.
• CVE‑2020‑17103에 대한 Google Project Zero 원본 보고서.
• Slashdot에서 이 이야기를 더 읽기