MiniPlasma : Chaotic Eclipse rouvre cldflt.sys et relance la question de la durabilité des patches Microsoft

Le vendredi 15 mai 2026, un message PGP signé est publié sur le blog deadeclipse666 et relayé sur les réseaux par le chercheur opérant sous les pseudonymes Chaotic Eclipse (publications) et Nightmare-Eclipse (code) (1). Le message annonce la mise à disposition d’un nouveau PoC, baptisé MiniPlasma, sur le dépôt github.com/Nightmare-Eclipse/MiniPlasma (2). La signature PGP correspond à la clé utilisée pour les publications précédentes, en particulier celles couvrant YellowKey et GreenPlasma le 12 mai 2026.

Le ton du message est inhabituellement laconique pour ce chercheur. La phrase d’ouverture, This one is accidental, I didn’t even think cldflt.sys had that vulnerability, suggère une découverte fortuite plutôt que le résultat d’une recherche dirigée. La phrase qui suit, Turns out CVE-2020-17103 patch is just not present at all ?, formulée avec un point d’interrogation, présente l’allégation centrale sous une forme de surprise plutôt que d’affirmation. Le test rapporté précise que le PoC a été exécuté avec succès sur Windows 11 et Windows Server 2025 entièrement patchés, aboutissant à l’obtention d’un shell SYSTEM.

Aucun élément technique supplémentaire ne figure dans le message. Aucune CVE n’a été attribuée. Aucun correctif n’est en cours de publication par Microsoft Security Response Center à la date de rédaction. À la différence de la divulgation YellowKey, où le mécanisme (bits Transactional NTFS dans le Windows Recovery Environment) avait été décrit suffisamment précisément pour permettre une reproduction indépendante en moins de 24 heures par plusieurs chercheurs, MiniPlasma est livré comme un binaire à exécuter, sans explication détaillée du chemin d’exploitation.

Pour évaluer la portée de MiniPlasma, il faut d’abord comprendre ce qu’est cldflt.sys. Le Windows Cloud Files Mini Filter Driver est un driver noyau Windows qui implémente le mécanisme des fichiers cloud-on-demand, principalement utilisé par OneDrive et SharePoint mais aussi par d’autres fournisseurs de stockage cloud intégrés au système. Sa fonction principale est la gestion des placeholders : des entrées de système de fichiers qui se comportent comme des fichiers locaux mais dont le contenu n’est hydraté qu’à la demande, à partir d’une source distante (3)(4).

Le driver est chargé par défaut sur l’ensemble des installations Windows modernes, indépendamment de la présence de OneDrive ou de tout client cloud. Son périmètre d’attaque est donc maximal sur le parc Windows.

L’historique des vulnérabilités du driver est instructif. Quatre CVE majeures ont été corrigées sur le composant en 18 mois, avec une cadence qui s’accélère.

La trajectoire est cohérente. cldflt.sys est un sous-système architecturalement complexe : il intercepte les opérations du système de fichiers, manipule des reparse points, gère des transitions entre contextes utilisateur et noyau, et expose des IOCTL exotiques (typiquement 0x903BC sur HsmpOpCreatePlaceholders). Les chercheurs qui s’y intéressent y trouvent régulièrement des défauts logiques. CVE-2025-55680 a démontré qu’un patch ancien (CVE-2020-17136) pouvait être contourné par une race condition cinq ans plus tard. CVE-2025-62221 a été exploitée in-the-wild avant même d’être publiée. MiniPlasma, si elle se confirme, serait le quatrième épisode de cette série continue.

L’allégation centrale de Chaotic Eclipse, le patch CVE-2020-17103 serait simplement pas présent du tout, est extraordinaire. Sans confirmation binaire indépendante, deux lectures techniques sont possibles, à hiérarchiser par parcimonie.

Hypothèse 1 : variante non couverte de la classe d’origine

C’est l’hypothèse la plus probable a priori. Le chercheur aurait identifié un code path adjacent à celui patché en décembre 2020. Le patch original resterait présent et fonctionnel sur sa portée d’origine, mais ne couvrirait pas la variante exploitée par MiniPlasma. C’est exactement le pattern observé en mars 2024 par Exodus Intelligence sur CVE-2020-17136 : la validation des caractères \ et : dans les paths de placeholder, introduite par le patch de 2020, était contournable par une race TOCTOU. Le patch n’était pas absent, il était insuffisant.

Cette lecture est renforcée par le ton du message Chaotic Eclipse. La phrase I didn’t even think cldflt.sys had that vulnerability suggère que le chercheur a trouvé son bug en regardant le code par hasard, plutôt que par analyse dirigée du patch CVE-2020-17103. La formulation interrogative just not present at all ? peut être lue comme une exclamation rhétorique exprimant la surprise plutôt qu’une affirmation littérale.

Hypothèse 2 : régression silencieuse du patch

Plus rare en pratique mais documentée dans l’histoire récente de Windows, l’hypothèse d’une régression effective du patch ne peut être écartée. Microsoft a refactoré cldflt.sys à plusieurs reprises depuis 2020 : intégration de nouvelles API Cloud Filter, ajout de la prise en charge des Files On-Demand v2, alignement avec cldsync.sys sur certaines branches. Chaque refactoring est un point de risque pour la durabilité des patches anciens.

Si l’hypothèse 2 se vérifie, l’exposition courrait depuis potentiellement plusieurs versions de Windows. Les conséquences seraient significatives. Premièrement, le narratif Chaotic Eclipse sur les défaillances du silent patching trouverait dans ce cas une validation post hoc particulièrement forte. Deuxièmement, la question de la pérennité des correctifs anciens dans un système d’exploitation aussi vaste et fréquemment refactoré que Windows deviendrait un sujet de doctrine pour les CERT et les RSSI, au-delà du seul cas cldflt.sys.

Trancher entre les deux hypothèses exige un diff binaire entre une version vulnérable de cldflt.sys antérieure au patch 2020, une version Windows 10 ou 11 où le patch a été appliqué, et la version actuelle sur Windows 11 et Windows Server 2025 testée par Chaotic Eclipse. Ce travail est réalisable par des chercheurs disposant des outils standards de reverse engineering Windows (IDA Pro, Ghidra, BinDiff). Il est probable que les premiers résultats soient publiés dans les 48 à 72 heures suivant la diffusion du PoC, dans la lignée des reproductions de YellowKey.

MiniPlasma s’inscrit dans une séquence de divulgations dont le rythme s’accélère depuis avril 2026. Le chercheur Chaotic Eclipse a annoncé une nouvelle publication pour le Patch Tuesday de juin 2026. MiniPlasma arrive trois jours après YellowKey et GreenPlasma, sans correspondre à cette annonce de juin, ce qui signifie soit que l’agenda annoncé tient toujours avec un autre exploit en réserve, soit que le chercheur ajuste son calendrier.

Le motif déclaré du chercheur, exposé dans plusieurs publications signées PGP sur le blog deadeclipse666, reste constant. Il dénonce la pratique du silent patching attribuée à Microsoft : la correction discrète de vulnérabilités sans attribution de CVE, sans publication d’advisory, sans rétribution du chercheur signalant. La stratégie de réponse choisie par Chaotic Eclipse est la divulgation publique non coordonnée, calibrée sur le rythme du Patch Tuesday, pour maximiser à la fois la visibilité de la critique et le coût opérationnel imposé à l’éditeur.

Quelle que soit l’évaluation morale qu’on porte sur cette stratégie, son efficacité opérationnelle est désormais documentée. Chaque divulgation impose à Microsoft une mobilisation interne, à la communauté de chercheurs un travail de reproduction, et aux équipes CERT et CSIRT une analyse d’exposition. Le coût agrégé pour l’écosystème est significatif, et la trajectoire des divulgations passées (YellowKey reproduit en 24 heures, GreenPlasma confirmé fonctionnel sur Windows Server 2026) suggère que MiniPlasma sera traité de la même manière par les équipes de reverse engineering indépendantes dans les heures à venir.

Sous réserve de confirmation indépendante du PoC, le périmètre d’exposition de MiniPlasma serait, par construction du sous-système ciblé, particulièrement large.

Le driver cldflt.sys est chargé par défaut sur l’ensemble des installations Windows depuis Windows 10 version 1809. Sa présence ne dépend pas de la présence effective de OneDrive sur le poste : le driver est embarqué dans le système d’exploitation et activé via la pile de filter drivers du système de fichiers. Les tests rapportés par Chaotic Eclipse portent sur Windows 11 (toutes versions vraisemblablement, à confirmer) et Windows Server 2025. L’extrapolation aux autres versions modernes du système d’exploitation est immédiate en l’absence d’indication contraire.

Les environnements opérationnels présentant une exposition particulièrement marquée sont les mêmes que pour les LPE Windows précédentes : hébergeurs et fournisseurs de bureaux virtuels (VDI) accueillant plusieurs utilisateurs sur la même machine ou la même image, postes utilisateurs sur lesquels une compromission applicative préalable fournit un accès local, serveurs RDS multi-utilisateurs, runners CI Windows exécutant du code tiers. Tout chemin d’attaque aboutissant à l’exécution de code local par un utilisateur non privilégié, y compris via une vulnérabilité applicative comme la CVE-2026-40361 dans wwlib.dll couverte sur ce blog par ailleurs, peut être chaîné avec MiniPlasma pour aboutir à un shell SYSTEM.

L’élément aggravant tient à l’historique récent du driver. La CVE-2025-62221, patchée en décembre 2025, a été exploitée in-the-wild avant la publication du correctif. Cette exploitation in-the-wild était documentée par Microsoft Threat Intelligence Center sans publication d’indicateurs de compromission détaillés, ce qui a rendu la détection difficile pour les défenseurs (5)(6). Si MiniPlasma confirme une seconde exposition non corrigée du même driver en cinq mois, la question de la fiabilité du sous-système Cloud Files pour les environnements à risque deviendra structurelle.

En l’absence de correctif éditeur et compte tenu de l’incertitude sur la nature exacte du défaut, les mitigations sont essentiellement compensatoires.

Désactivation conditionnelle du driver Cloud Files

Pour les hôtes ne nécessitant pas la fonctionnalité Files On-Demand (serveurs sans usage cloud, postes administrateurs, environnements VDI standardisés), la désactivation du service CldFlt peut être envisagée. La commande est la suivante :

sc.exe config cldflt start= disabled

L’impact fonctionnel est à valider précisément avant déploiement. La désactivation casse la synchronisation OneDrive en mode Files On-Demand, les fonctions équivalentes de SharePoint, et certains workflows tiers qui s’appuient sur l’API Cloud Filter de Windows. Pour les flottes utilisant intensivement OneDrive, cette mitigation n’est pas applicable. Pour les environnements serveurs sans usage cloud, elle réduit immédiatement la surface d’attaque à zéro pour cette classe de vulnérabilité.

Détection EDR sur les IOCTL cldflt.sys

Indépendamment du mécanisme exact exploité par MiniPlasma, les exploitations connues du driver depuis 2020 transitent toutes par un nombre limité de codes d’IOCTL. La surveillance EDR sur ces codes constitue une mesure de défense en profondeur. Les indicateurs comportementaux à privilégier incluent : appels à DeviceIoControl avec code 0x903BC vers le device \\.\HsmFlt\Hsm provenant de processus utilisateur non privilégié ; séquences CreateFile sur des reparse points de tag IO_REPARSE_TAG_CLOUD par des processus inhabituels ; création de DLL dans C:\Windows\System32\ ou C:\Windows\SysWOW64\ par des processus non SYSTEM, en particulier le DLL rasmxs.dll identifié dans les exploitations CVE-2025-55680 et fveapi.dll dans des variantes documentées.

Hardening général et défense en profondeur

Les règles ASR Microsoft Defender for Endpoint qui bloquent la création de processus enfants par les applications Office, l’injection de code dans d’autres processus, et la création de contenu exécutable par les applications Office, restent pertinentes pour limiter les chaînes d’attaque aboutissant à MiniPlasma. Pour les environnements à risque (VDI, serveurs RDS, hébergeurs mutualisés), l’application stricte du principe de moindre privilège sur les comptes utilisateurs réduit la valeur d’une élévation locale à SYSTEM mais ne la prévient pas.

Trois enseignements émergent de cette divulgation, à des degrés divers selon que les hypothèses techniques se confirment.

Le premier enseignement, indépendant de la nature exacte du défaut MiniPlasma, est l’épuisement progressif du modèle de communication Microsoft sur les vulnérabilités. La répétition des divulgations Chaotic Eclipse, l’exploitation in-the-wild documentée de CVE-2025-62221 avant patch, et la cadence des découvertes sur cldflt.sys en moins de deux ans, dessinent un tableau dans lequel la pratique du silent patching, le manque de détail technique dans les advisories MSRC, et l’absence d’IOC publiés pour les vulnérabilités exploitées in-the-wild, créent un déficit d’information opérationnel pour les défenseurs. Quelle que soit la qualité du travail technique interne à Microsoft, ce déficit alimente la dynamique adversariale documentée par Chaotic Eclipse.

Le deuxième enseignement, conditionnel à l’hypothèse de la régression silencieuse, est la fragilité de l’hypothèse implicite selon laquelle un correctif publié reste effectif dans le temps. Cette hypothèse sous-tend toute la doctrine de gestion des vulnérabilités classique : un patch appliqué, signalé comme correctif dans un advisory, est réputé clore une exposition. Si MiniPlasma démontre qu’un patch peut disparaître au fil des refactorings sans qu’aucune communication ne soit produite, ce sont les fondamentaux du suivi de vulnérabilités qui sont remis en cause. Les RSSI et responsables de programmes de gestion des vulnérabilités devront alors envisager une approche par vérification continue plutôt que par confiance dans l’historique de patching.

Le troisième enseignement, structurel, concerne la fragilité de cldflt.sys en tant que sous-système. Quatre CVE en 18 mois, dont une 0-day exploitée in-the-wild, dont une bypass d’un patch ancien, et désormais une cinquième allégation toujours sur le même driver. Le composant a manifestement une surface d’attaque que les chercheurs continuent de dépiler avec succès. Pour les RSSI exploitant massivement OneDrive et SharePoint en environnement entreprise, la question de la durabilité du couple OneDrive Cloud Files / posture de sécurité est posée en termes nouveaux. Pour les environnements à risque, la désactivation préventive du driver lorsque c’est fonctionnellement possible devient une option à considérer sérieusement, sans attendre l’occurrence d’un nouvel incident.

Une mise à jour de cette analyse sera publiée à la confirmation indépendante du PoC MiniPlasma et à la publication du diff technique entre la version vulnérable et le patch CVE-2020-17103 d’origine. La divulgation annoncée par Chaotic Eclipse pour le Patch Tuesday de juin 2026 sera également couverte sur ce blog. Les lecteurs CERT, CSIRT et VOC sont invités à intégrer MiniPlasma à leurs scénarios de threat hunting en attendant ces clarifications, en privilégiant les indicateurs comportementaux mentionnés en section 6 plutôt que des signatures spécifiques au PoC actuel, qui pourra évoluer rapidement après reverse engineering communautaire.