MiniPlasma Windows 0-Day: Privilege Escalation SYSTEM di Windows 11 Terbaru

Baru-baru ini, seorang peneliti keamanan dengan nama samaran Chaotic Eclipse mengungkap sebuah zero-day eksploitasi yang memungkinkan eskalasi hak akses ke tingkat SYSTEM pada sistem Windows yang sudah diperbarui penuh. Kerentanan ini diberi nama MiniPlasma dan menyerang komponen cldflt.sys, yaitu Windows Cloud Files Mini Filter Driver, yang masih rentan meski Microsoft mengklaim sudah memperbaikinya sejak 2020.

Detail Kerentanan MiniPlasma dan Riwayatnya

Kerentanan yang ditemukan pada modul "HsmOsBlockPlaceholderAccess" ini pertama kali dilaporkan oleh peneliti Google Project Zero, James Forshaw, pada September 2020. Saat itu, Microsoft mengeluarkan patch untuk CVE-2020-17103 pada Desember 2020 yang diyakini memperbaiki masalah tersebut.

Namun, setelah penelusuran lebih lanjut, Chaotic Eclipse menyatakan bahwa masalah yang sama masih ada dan belum diperbaiki. Ia mengungkapkan,

"Saya tidak yakin apakah Microsoft tidak pernah memperbaiki masalah ini atau patch tersebut secara diam-diam dicabut tanpa alasan yang diketahui. PoC asli dari Google masih bisa dijalankan tanpa modifikasi."

Untuk membuktikan kerentanannya, peneliti ini mengembangkan PoC tersebut menjadi alat yang dapat membuka shell dengan hak akses SYSTEM. Meskipun berhasil di beberapa mesin dengan tingkat keberhasilan yang beragam karena sifatnya berupa race condition, eksploitasi ini menunjukkan potensi risiko serius.

Dampak dan Versi Windows yang Terpengaruh

Chaotic Eclipse memperingatkan bahwa hampir semua versi Windows berpotensi terdampak oleh kerentanan ini. Hal ini diperkuat oleh pernyataan peneliti keamanan lain, Will Dormann, yang membagikan pengalamannya di Mastodon. Dormann menyebutkan bahwa MiniPlasma bekerja dengan andal untuk membuka command prompt (cmd.exe) dengan hak akses SYSTEM pada Windows 11 yang telah diperbarui hingga Mei 2026.

"Saya mencatat bahwa eksploitasi ini tidak berfungsi pada versi Insider Preview Canary terbaru Windows 11," tambah Dormann.

Kerentanan ini semakin memperkuat pentingnya kewaspadaan terhadap modul cldflt.sys, yang sebelumnya pada Desember 2025 juga mengalami perbaikan terkait kelemahan eskalasi hak akses (CVE-2025-62221) dengan skor CVSS 7.8 yang sudah dieksploitasi oleh aktor ancaman yang tidak diketahui.

Langkah yang Harus Dilakukan dan Implikasi Keamanan

Menanggapi temuan ini, pengguna dan administrator sistem Windows terutama Windows 11 versi terbaru disarankan untuk:

• Memantau pembaruan keamanan resmi dari Microsoft secara rutin.
• Menggunakan solusi keamanan endpoint yang mampu mendeteksi aktivitas mencurigakan terkait eskalasi privilege.
• Melakukan audit dan pengujian penetrasi internal untuk mengidentifikasi kerentanan serupa.

Selain itu, komunitas keamanan siber perlu terus mengawasi perkembangan eksploitasi ini agar mitigasi yang efektif segera dapat diterapkan.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan kembali kerentanan lama seperti MiniPlasma yang belum benar-benar diperbaiki menunjukkan adanya celah pengawasan serius dalam proses patching Microsoft. Ini menjadi warning sign bagi perusahaan dan individu bahwa pembaruan sistem tidak selalu menjamin keamanan penuh terutama untuk kernel-level driver yang kompleks seperti cldflt.sys.

Lebih jauh, karena MiniPlasma memanfaatkan race condition, eksploitasi ini menggarisbawahi kebutuhan akan mekanisme penguncian dan validasi lebih ketat dalam pengelolaan akses sumber daya sistem. Hal ini juga dapat menjadi pintu masuk bagi serangan lanjutan yang lebih berbahaya jika disalahgunakan oleh aktor jahat dengan kemampuan tinggi.

Ke depan, hal yang harus diperhatikan adalah bagaimana Microsoft dan komunitas keamanan akan merespons temuan ini dengan patch yang transparan dan efektif. Selain itu, pengguna Windows 11 disarankan untuk tetap waspada dan mengikuti perkembangan berita keamanan terbaru, seperti yang dilaporkan oleh The Hacker News dan sumber tepercaya lainnya.