MiniPlasma bukan bug baru tetapi bug yang sudah pernah dilaporkan bertahun-tahun lalu melalui CVE-2020-17103 oleh James Forshaw. Yang berubah sekarang adalah konteks exploitability dari bug tersebut. PoC lama yang sebelumnya dianggap sudah tidak bekerja atau sudah fixed ternyata kembali valid pada Windows modern karena perubahan internal di jalur execution cldflt.sys membuat mitigasi lama hilang efeknya. Bukan bypass patch, windows. PoC lama kembali bisa mempengaruhi kinerja sistem karena root cause awal tidak di tangani dengan baik.
Target utamanya ada di cldflt.sys, Cloud Files Mini Filter Driver milik Windows. Driver ini berada di stack file system filter dan dipakai untuk placeholder file handling pada OneDrive dan Cloud Files API. Begitu placeholder access diproses, cldflt.sys ikut mengatur state object, hydration logic, dan policy enforcement terhadap file yang sebenarnya belum sepenuhnya tersimpan di disk.
State Internal yang Bermasalah
Masalah utama di sini bukan memory corruption yangg biasa kita temukan pada LPE seperti pada Linux. Tidak ada heap spray besar, tidak ada UAF allocator-heavy seperti win32k era lama. Primitive awalnya lebih dekat ke race-condition logic flaw di sekitar validasi object state.
HsmOsBlockPlaceholderAccess melakukan pemeriksaan terhadap akses placeholder file dalam kondisi tertentu. Jalur ini bergantung pada state transient object yang berubah cepat ketika file operation, policy update, dan namespace handling berjalan paralel.
Yang penting di sini: validasi dilakukan terhadap state yang tidak stabil. PoC lama dari Project Zero memanfaatkan timing antara perubahan object/policy state dan jalur access enforcement. Secara teknis Microsoft sepertinya dulu tidak menghilangkan primitive race tersebut. Mereka hanya membuat PoC original gagal secara praktis melalui perubahan perilaku tertentu di Windows 10 akhir 2020.
cldflt.sys digunakan buat LPE karena berada langsung di jalur operasi file biasa Windows. User biasa bisa trigger code path-nya cuma lewat akses file placeholder OneDrive atau Cloud Files. Masalah mulai muncul karena state object placeholder bisa berubah di tengah operation. Contohnya: thread pertama check apakah placeholder boleh diakses, thread lain hydrate file, metadata placeholder berubah, operation pertama lanjut pakai hasil check lama.
Baca Juga Tentang: MDASH Ghost-Lock Defender
Benediktus Sava – Security Researcher
Sumber: Nightmare-eclipse Chromium Microsoft
