CVE-2020-17103｜Windows Cloud Files Mini Filter Driver（MiniPlasma）提权漏洞（POC）

0x00 前言

Windows Cloud Files Mini Filter Driver（驱动文件名为 cldflt.sys）是Windows操作系统的核心文件系统过滤驱动，运行于内核态并直接参与文件IO请求处理。

它主要为OneDrive等云存储服务提供占位符文件管理、云端文件同步、文件访问控制等关键功能，实现"文件按需下载"体验——用户在资源管理器中看到完整文件列表，但实际内容仅在需要时才从云端获取（即"水合"过程）。

该驱动是Windows云服务集成的基础组件，与杀毒软件、加密工具、备份代理等同属内核层过滤驱动生态系统，其安全性直接影响系统内核权限边界与数据安全。

0x01 漏洞描述

漏洞源于Cloud Filter驱动的HsmOsBlockPlaceholderAccess例程在打开.DEFAULT用户注册表配置单元时，缺少OBJ_FORCE_ACCESS_CHECK标志，导致内核跳过了正常的安全检查。

攻击者通过竞态条件操纵RtlOpenCurrentUser函数，在用户态与匿名令牌之间切换，最终以SYSTEM权限写入注册表键。

0x02 CVE编号

CVE-2020-17103

0x03 影响版本

Windows 10 所有版本
Windows 11 所有版本（包括2026年5月补丁后的系统）
Windows Server 2016/2019/2025

0x04 漏洞详情

POC（其他）：

https://github.com/CaptainChicky/MiniPlasma

谨慎测试，原作者文件已被删除！

0x05 参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103

https://project-zero.issues.chromium.org/issues/42451192

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。