Celah Keamanan Zero-Day “MiniPlasma” pada Windows Berikan Akses SYSTEM, Kode PoC Dirilis Publik
Komunitas keamanan siber kembali digemparkan oleh perilisan proof-of-concept (PoC) eksploitasi celah keamanan zero-day baru pada sistem operasi Windows yang dinamakan “MiniPlasma”. Celah keamanan berjenis Local Privilege Escalation (LPE) ini memungkinkan penyerang dengan hak akses pengguna standar (biasa) melompat dan mengambil alih kendali penuh komputer dengan hak akses tertinggi, yaitu SYSTEM privileges, pada sistem yang sudah diperbarui sepenuhnya.
Kode sumber (source code) beserta file eksekutif siap pakai dari eksploitasi ini diunggah langsung ke platform GitHub oleh seorang peneliti independen dengan alias Chaotic Eclipse (atau Nightmare Eclipse). Langkah ekstrem ini diambil setelah ia mengeklaim bahwa Microsoft gagal menambal secara permanen sebuah kerentanan lama yang pertama kali dilaporkan pada tahun 2020.
Akar Masalah: Kembalinya Bug Cloud Filter Driver Tahun 2020
Berdasarkan penjelasan peneliti, “MiniPlasma” mengeksploitasi komponen driver filter komputasi awan bawaan Windows (cldflt.sys) pada rutinitas bernama HsmOsBlockPlaceholderAccess.
- Sejarah Bug: Celah ini awalnya ditemukan oleh peneliti elite dari Google Project Zero, James Forshaw, pada September 2020 dan diberi kode CVE-2020-17103. Microsoft mengumumkan telah menutup celah ini pada pembaruan Patch Tuesday Desember 2020.
- Temuan Baru: Chaotic Eclipse menemukan bahwa masalah persis yang dilaporkan oleh Google tersebut ternyata masih ada dan aktif di dalam sistem Windows modern saat ini. Kode PoC orisinal buatan Google tahun 2020 bahkan dapat berjalan mulus tanpa modifikasi apa pun untuk menembus Windows versi terbaru. Peneliti berspekulasi apakah Microsoft tidak pernah benar-benar memperbaikinya secara tuntas atau patch tersebut tidak sengaja terhapus (silent rollback) pada pembaruan sistem di kemudian hari.
Secara teknis, eksploitasi ini menyalahgunakan cara Cloud Filter driver menangani pembuatan kunci registri (registry key) melalui fungsi API yang tidak terdokumentasi, yaitu CfAbortHydration. Celah ini memungkinkan pembuatan kunci registri secara sembarang di dalam struktur .DEFAULT tanpa melalui proses verifikasi hak akses yang benar, yang berujung pada eskalasi hak akses penuh ke sistem.
Hasil Pengujian di Lapangan: Valid dan Berbahaya
Keandalan eksploitasi “MiniPlasma” telah dikonfirmasi oleh beberapa pihak independen:
- Pengujian BleepingComputer: Pengujian dilakukan pada sistem Windows 11 Pro yang sudah dipasang pembaruan keamanan paling mutakhir (Mei 2026). Menggunakan akun pengguna standar, eksekusi PoC tersebut berhasil membuka jendela Command Prompt baru dengan otoritas penuh sebagai
nt authority\system. - Konfirmasi Analis: Will Dormann, analis kerentanan utama dari Tharros, memvalidasi bahwa eksploitasi ini bekerja pada seluruh versi Windows 11 publik saat ini. Namun, ia mencatat bahwa bug ini sudah tidak berfungsi pada Windows 11 Insider Preview versi Canary build terbaru.
Rentetan Aksi Spionase dan Protes Terbuka Terhadap Microsoft
“MiniPlasma” bukanlah zero-day pertama yang dilepas oleh Chaotic Eclipse. Selama beberapa minggu terakhir, peneliti ini secara agresif merilis serangkaian eksploitasi kritis sebagai bentuk protes atas buruknya sistem bug bounty dan penanganan kerentanan di Microsoft:
| Nama Eksploit | Jenis Kerentanan / Dampak | Status Saat Ini |
| BlueHammer | Windows LPE (CVE-2026-33825). | Aktif dieksploitasi di alam liar. |
| RedSun | Windows LPE. | Diperbaiki secara diam-diam (silent patch) oleh Microsoft. |
| UnDefend | Alat DoS (Denial of Service) untuk melumpuhkan Windows Defender. | Aktif dieksploitasi di alam liar. |
| YellowKey | Bypass enkripsi BitLocker pada Windows 11 & Server 2022/2025 lewat TPM-only. | Dirilis Mei 2026. |
| GreenPlasma | Eksploitasi LPE Windows tambahan. | Dirilis Mei 2026. |
| MiniPlasma | Eksploitasi ulang cldflt.sys (Eks-CVE-2020-17103) mendapatkan akses SYSTEM. | Terbaru (Aktif). |
Peneliti tersebut mengeklaim mendapat perlakuan buruk dan intimidasi secara personal dari pihak internal korporasi saat mencoba melaporkan bug secara baik-baik, yang akhirnya mendorongnya untuk melepas seluruh temuan berbahaya ini ke publik tanpa koordinasi.
Rekomendasi Tindakan dan Mitigasi
Hingga saat ini, belum ada patch resmi dari Microsoft untuk mengatasi eksploitasi “MiniPlasma”. Karena kode eksploitasi sudah tersebar luas di internet, risiko penyalahgunaan oleh aktor ancaman (seperti ransomware atau malware lokal) sangat tinggi. Tim administrator IT dan pembela jaringan disarankan mengambil langkah berikut:
- Perketat Hak Akses Lokal: Terapkan prinsip Least Privilege. Pastikan pengguna harian tidak memiliki hak akses administratif lokal yang dapat memudahkan malware mengunduh dan mengeksekusi PoC ini.
- Pemantauan Perilaku Proses (EDR): Konfigurasikan sistem Endpoint Detection and Response (EDR) untuk memantau aktivitas mencurigakan dari proses yang memanggil API
CfAbortHydrationatau modifikasi aneh pada struktur registri.DEFAULToleh akun non-admin. - Awasi Aktivitas GitHub: Blokir atau pantau unduhan biner atau eksekutif yang mencurigakan yang berasal dari repositori terkait eksploitasi ini di lingkungan jaringan perusahaan Anda.
