Ein neu entdeckter Sicherheitsangriff namens MiniPlasma zeigt: Eine seit Jahren bekannte Schwachstelle im Windows-Treiber für Cloud-Dateien ist immer noch ausnutzbar. Der Exploit gewährt Angreifern auf vollständig gepatchten Systemen die höchsten Zugriffsrechte.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit für Unternehmen jetzt stärken
Die wiederkehrende Gefahr im Cloud-Treiber
Im Zentrum des Problems steht der Treiber cldflt.sys – ein Kernbestandteil von Windows, der Platzhalterdateien und die Synchronisation von Cloud-Diensten wie OneDrive verwaltet. Der Sicherheitsforscher Nightmare Eclipse veröffentlichte einen Proof-of-Concept namens MiniPlasma. Dieser demonstriert, wie ein Angreifer mit niedrigen Zugriffsrechten auf SYSTEM-Privilegien aufsteigen kann.
Die Schwachstelle ist kein neues Phänomen. Bereits Ende 2020 entdeckte ein Forscher von Googles Project Zero das Problem und meldete es Microsoft. Obwohl eine Sicherheitsaktualisierung veröffentlicht wurde, zeigen die neuen Erkenntnisse: Die damalige Lösung war entweder unvollständig oder wurde in späteren Windows-Versionen wieder rückgängig gemacht.
Technische Details des MiniPlasma-Exploits
Der Angriff zielt auf die Routine HsmOsBlockPlaceholderAccess im cldflt.sys-Treiber. Dabei handelt es sich um eine Race-Condition: Der Angreifer manipuliert das Timing bestimmter Systemoperationen, um Sicherheitsprüfungen zu umgehen.
Der Exploit funktioniert, indem er manipulierte Registry-Schlüssel im Standard-Benutzerprofil platziert. Über die fehlerhafte Verarbeitung von Platzhalterdateien entsteht ein Speicherfehler – und damit die Möglichkeit, Code mit Kernel-Rechten auszuführen. Da der Treiber tief im Windows-Kernel arbeitet, erhält der Angreifer die vollständige Kontrolle über das System. Selbst installierte Sicherheitssoftware kann dann umgangen werden.
Die Zuverlässigkeit des Angriffs hängt von der Hardware-Konfiguration ab. Die Veröffentlichung des funktionsfähigen Codes zeigt jedoch eine erhebliche Sicherheitslücke im Windows-E/A-System.
Regression und Bestätigung durch Experten
Der unabhängige Sicherheitsforscher Will Dormann bestätigte: Der Exploit funktioniert auf aktuellen, vollständig gepatchten Versionen von Windows 10 und Windows 11. Interessanterweise war der Angriff auf den neuesten Windows-11-Insider-Preview-Builds nicht erfolgreich. Das deutet darauf hin, dass Microsoft möglicherweise bereits Änderungen für künftige Updates vorbereitet.
Experten sehen in MiniPlasma einen klassischen Regressionsfehler. Dass ein Jahre alter Proof-of-Concept auf modernen Systemen ohne größere Anpassungen funktioniert, spricht dafür, dass die ursprüngliche Sicherheitslücke nie wirklich geschlossen wurde. Statt die Ursache zu beheben, wurden offenbar nur Symptome behandelt.
Der cldflt.sys-Treiber steht bereits seit Monaten im Fokus der Sicherheitsforschung. Ende 2025 wurden mehrere weitere Schwachstellen entdeckt und gepatcht – darunter ein „Use-After-Free“-Fehler (CVE-2025-62221) und eine Race-Condition bei der Erstellung von Platzhalterdateien (CVE-2025-55680).
Gefahr für Unternehmen
Die Bedrohung ist enorm: Cloud-Integration ist in modernen Unternehmen Standard. Der Treiber ist auf Millionen von Arbeitsplätzen und Servern aktiv, um Dienste wie OneDrive und SharePoint zu unterstützen.
Zwar benötigt ein Angreifer zunächst lokalen Zugriff auf ein System. Doch genau das macht den Exploit so gefährlich: Nach einer ersten Infektion – etwa durch Phishing – kann MiniPlasma genutzt werden, um Antivirensoftware zu deaktivieren, dauerhafte Hintertüren zu installieren oder sich quer durchs Unternehmensnetzwerk zu bewegen.
Phishing ist oft das erste Einfallstor für Angriffe auf die Systemintegrität – dieses kostenlose Paket zeigt Ihnen in 4 Schritten, wie Sie sich effektiv vor Manipulationstaktiken und Cyberkriminalität schützen. Anti-Phishing-Paket kostenlos herunterladen
Microsoft wurde über die neuen Erkenntnisse informiert. Eine offizielle Stellungnahme zu einem Patch-Termin steht noch aus. Sicherheitsteams sollten bis dahin besonders auf ungewöhnliche Registry-Änderungen und Kernel-Aktivitäten im Zusammenhang mit dem Cloud-Dateien-Treiber achten.
Ausblick
Der MiniPlasma-Exploit ist ein alarmierendes Beispiel für die Hartnäckigkeit von Kernel-Schwachstellen. Microsoft wird voraussichtlich mit einem der nächsten monatlichen Sicherheitsupdates reagieren. Doch der Vorfall hat eine Bddebatte ausgelöst: Reichen die bisherigen Regressionstests für kritische Systemtreiber überhaupt aus?
Für Unternehmen heißt die Devise: Defense-in-Depth. Bis ein geprüfter Patch vorliegt, müssen lokale Zugriffe streng kontrolliert und moderne Endpoint-Detection-Systeme eingesetzt werden. Die wiederkehrenden Schwachstellen im Cloud-Synchronisations-Stack lassen vermuten: Dieses Thema wird Windows-Nutzer noch lange beschäftigen.
