MiniPlasma: 6년 만에 되살아난 SYSTEM 권한 상승 (CVE-2020-17103)

‍

MiniPlasma: 6년 만에 되살아난 SYSTEM 권한 상승 (CVE-2020-17103)

‍

■ 개요

‍

Windows 클라우드 동기화 기능을 지원하는 커널 드라이버 cldflt.sys(Cloud Files Mini Filter Driver)에서 로컬 권한 상승 취약점이 다시 확인됐습니다. 이 드라이버는 OneDrive 등 클라우드 백업 파일의 placeholder 처리를 담당하며 Windows에 기본 포함되기 때문에, 별도 설치 없이도 사실상 모든 Windows 데스크톱·서버가 잠재적 영향권에 있습니다. 연구자에 따르면 2026년 5월 누적 업데이트까지 적용된 Windows 11(26H1 포함)에서도 재현됐습니다.

관리자 권한이 없는 계정으로도 SYSTEM까지 상승할 수 있다는 점이 핵심입니다. 일반 사용자가 드라이버의 미검증 경로를 통해 .DEFAULT 레지스트리 하이브에 임의 키를 생성하면, SYSTEM으로 동작하는 시스템 작업이 이 키를 신뢰하여 공격자가 지정한 실행 파일을 로드합니다. 사전 인증 없이 원격으로 공격할 수 있는 유형은 아니지만, 이미 단말에 발판을 확보한 침입자가 최고 권한으로 올라서는 전형적인 후속 단계에 해당합니다.

2020년에 패치된 취약점이 현행 Windows 11에서 다시 동작한다는 점도 주목할 만합니다. CVE-2020-17103은 Google Project Zero의 James Forshaw가 2020년 9월 보고했고, Microsoft는 같은 해 12월에 패치를 배포했습니다. 이후 2026년 5월 Chaotic Eclipse(GitHub: Nightmare-Eclipse)가 PoC를 공개했는데, 당시 익스플로잇이 변경 없이 최신 환경에서 그대로 실행됩니다. 보안 연구자 Will Dormann도 5월 업데이트가 적용된 환경에서 SYSTEM 셸 획득을 독립 검증한 바 있습니다.

‍

■ 요약

‍

‍

■ 기술 분석

‍

취약점은 cldflt.sys의 HsmOsBlockPlaceholderAccess 루틴에서 비롯되며, user-mode로 노출된 미문서화 API CfAbortHydration도 관련됩니다. 연구자 분석에 따르면 비관리자 호출자가 이 경로를 이용할 수 있어, 적절한 접근 검사 없이 .DEFAULT 사용자 하이브에 레지스트리 키가 생성됩니다. .DEFAULT는 시스템 수준에서 참조하는 기본 레지스트리 템플릿이므로, 일반 계정이 이 영역을 조작할 수 있으면 권한 경계가 무너집니다.

공개 자료를 기준으로 보면, 실제 권한 상승은 Windows 오류 보고(WER)를 경유합니다. 익스플로잇이 USER\.DEFAULT\Volatile Environment의 windir 값을 공격자 경로로 덮어쓰면, 로컬 시스템 계정으로 실행되는 WER QueueReporting 예약 작업이 정상 System32 대신 조작된 위치의 wermgr.exe를 로드하면서 SYSTEM 셸이 생성됩니다. 레이스 컨디션에 의존하므로 성공률은 일정하지 않지만, 재시도가 가능합니다.

2020년 패치가 무력화된 정확한 원인은 아직 밝혀지지 않았습니다. 보도된 분석에서는 당시 패치가 루틴 전체가 아닌 특정 우회 경로만 차단했을 가능성이 제기되며, 이후 코드 변경 과정에서 해당 패치가 조용히 되돌려졌을 여지도 거론됩니다. cldflt.sys는 비공개 커널 드라이버라 공식 diff가 없어 근본 원인을 규명하기 어렵습니다. 아래 탐지 규칙으로 우선 공격의 핵심 동작부터 포착합니다.

# 출처: arch1m3d/MiniPlasma-Detection (Sigma)
logsource:
  category: registry_event
  product: windows
detection:
  selection:
    EventType: CreateValue
    TargetObject|contains: '.DEFAULT\Volatile Environment\windir'
  condition: selection
level: high

‍

■ PoC

‍

공개된 PoC는 Forshaw의 원본을 거의 그대로 활용해 SYSTEM 셸을 띄우며, 공격용 실행 파일과 소스까지 GitHub에 올라와 있어 악용 장벽이 낮습니다. 영향 범위를 판단할 때는 즉시 사용 가능한 상태로 간주해야 합니다. 아래는 동작 원리만 보여주는 비실행 예시입니다.

// 개념 예시 - 실행 불가, 방어 목적 단순화
 
// 1) 접근 검사 누락: OBJ_FORCE_ACCESS_CHECK 없이 레지스트리 키 생성
InitializeObjectAttributes(&oa, &keyPath, OBJ_CASE_INSENSITIVE, NULL, NULL);
NtCreateKey(&hKey, KEY_ALL_ACCESS, &oa, ...);  // 권한 경계가 무너지는 핵심 결함
 
// 2) race condition: user ↔ anonymous token 토글로 RtlOpenCurrentUser 교란
while (!race_won) {
    SetThreadToken(NULL, user_token);
    SetThreadToken(NULL, anon_token);   // .DEFAULT 하이브가 SYSTEM 컨텍스트로 열림
}
 
// 3) .DEFAULT 하이브에 레지스트리 심볼릭 링크 생성 (추정 - PoC 소스 직접 확인 필요)
//    SYSTEM 프로세스의 레지스트리 참조를 공격자 경로로 리다이렉트
//    SYSTEM 셸 획득
//    ... 무기화·타이밍 세부는 생략 ...

이 코드는 실제 익스플로잇이 아니라 공개 PoC를 방어 관점에서 단순화한 예시입니다.

‍

■ 탐지 및 점검

‍

• EDR에 \Registry\User\.DEFAULT\Volatile Environment\windir 값의 생성·변경 이벤트 탐지 규칙을 등록합니다.

• \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps 위치의 쓰기 시도도 함께 감시합니다.

• 표준 사용자 세션에서 SYSTEM 권한의 wermgr.exe가 System32 밖에서 실행되는지 확인합니다.

• 위 두 레지스트리 대상의 CreateValue 이벤트가 동일 단말에서 연속 발생하면, 상관 분석으로 연계 여부를 판별합니다.

‍

■ 대응 방안

‍

• 응용프로그램 허용 목록(application allowlisting)을 적용해 미인가 바이너리를 차단합니다. 익스플로잇 페이로드가 대상 코드 경로에 도달하기 전에 실행 자체를 막을 수 있습니다.

• Microsoft 신규 패치가 나올 때까지 취약 단말을 마이크로세그멘테이션·EDR로 격리해 확산 범위를 줄입니다.

• 신뢰할 수 없는 출처의 실행 파일 유입을 통제하고, 일반 사용자 단말에서 SYSTEM 전환이 일어나는 지점을 점검합니다.

• Microsoft 보안 업데이트 채널을 주시하며, 신규 CVE·수정본이 발표되면 즉시 적용합니다.

‍

[참고 자료]

BleepingComputer, New Windows 'MiniPlasma' zero-day exploit gives SYSTEM access, PoC released

SecurityAffairs, Chaotic Eclipse discloses MiniPlasma zero-day

CSO Online, 'Patched' Windows bug resurfaces 6 years later as working SYSTEM-level exploit

ThreatLocker, MiniPlasma: Windows privilege escalation zero-day affects fully patched systems

NVD, CVE-2020-17103 Detail

GitHub, Nightmare-Eclipse/MiniPlasma

GitHub, arch1m3d/MiniPlasma-Detection - Sigma rule