Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma zero-day de escalada de privilégios no Windows, apelidada de “MiniPlasma”, que permite a invasores obter privilégios SYSTEM em sistemas Windows totalmente atualizados.
O exploit foi publicado por um pesquisador conhecido como Chaotic Eclipse, ou Nightmare Eclipse, que liberou o código-fonte e um executável compilado no GitHub.
Segundo ele, a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada anteriormente em 2020.
De acordo com o pesquisador, a falha afeta o driver Cloud Filter, o cldflt.sys, e sua rotina HsmOsBlockPlaceholderAccess.
O problema havia sido comunicado à Microsoft em setembro de 2020 pelo pesquisador James Forshaw, do Google Project Zero.
Na época, a falha recebeu o identificador
CVE-2020-17103
e teria sido corrigida em dezembro de 2020.
“Depois de investigar, descobriu-se que exatamente o mesmo problema reportado à Microsoft pelo Google Project Zero ainda está presente, sem patch”, explicou Chaotic Eclipse.
“Não sei se a Microsoft simplesmente nunca corrigiu a falha ou se o patch foi revertido silenciosamente em algum momento por razões desconhecidas.
O PoC original do Google funcionou sem nenhuma alteração.”
O exploit foi testado em um Windows 11 Pro totalmente atualizado, com os mais recentes updates do Patch Tuesday de maio de 2026.
No teste, foi usada uma conta de usuário padrão e, após a execução do exploit, abriu-se um prompt de comando com privilégios SYSTEM, como mostrado na imagem abaixo.
Will Dormann, analista principal de vulnerabilidades da Tharros, também confirmou que o exploit funciona em seus testes na versão pública mais recente do Windows 11.
No entanto, ele disse que a falha não funciona na build Canary mais recente do Windows 11 Insider Preview.
Pelo que tudo indica, o exploit abusa da forma como o driver Cloud Filter do Windows trata a criação de chaves de registro por meio de uma API não documentada chamada CfAbortHydration.
No relatório original, Forshaw afirmou que a falha poderia permitir a criação arbitrária de chaves de registro no hive .DEFAULT do usuário, sem as verificações de acesso adequadas, o que poderia viabilizar a escalada de privilégios.
Embora a Microsoft afirme ter corrigido o bug como parte do Patch Tuesday de dezembro de 2020, Chaotic Eclipse agora sustenta que a vulnerabilidade ainda pode ser explorada.
A Microsoft foi contatada sobre essa nova zero-day e a reportagem será atualizada caso haja resposta.
MiniPlasma é a mais recente de uma sequência de divulgações de zero-day do Windows publicadas pelo pesquisador nas últimas semanas.
A série de revelações começou em abril com o BlueHammer, uma falha de escalada de privilégios local no Windows rastreada como
CVE-2026-33825
, seguida por outra vulnerabilidade de escalada de privilégios, a RedSun, e por uma ferramenta de negação de serviço contra o Windows Defender, a UnDefend.
Depois dessas divulgações, as três vulnerabilidades foram vistas sendo exploradas em ataques.
Segundo o pesquisador, a Microsoft corrigiu silenciosamente o problema RedSun sem atribuir um identificador CVE.
Neste mês, o pesquisador também liberou outros dois exploits, chamados YellowKey e GreenPlasma.
O YellowKey é um bypass do BitLocker que afeta Windows 11 e Windows Server 2022/2025, e que abre uma shell de comando com acesso a unidades desbloqueadas protegidas por configurações do BitLocker com TPM.
Chaotic Eclipse já afirmou anteriormente que está divulgando publicamente essas zero-day do Windows em protesto contra o programa de bug bounty da Microsoft e contra o processo de tratamento de vulnerabilidades da empresa.
“Normalmente, eu passaria pelo processo de implorar para que corrigissem um bug, mas, resumindo, fui avisado pessoalmente por eles de que destruiriam minha vida, e foi isso que fizeram.
Não sei se fui o único a passar por essa experiência horrível ou se foram poucas pessoas, mas acho que a maioria engoliria seco e aceitaria o prejuízo.
Para mim, eles tiraram tudo”, alegou o pesquisador.
“Passaram por cima de mim e recorreram a todas as jogadas infantis que conseguiram.
Foi tão ruim que, em certo momento, eu me perguntava se estava lidando com uma grande corporação ou com alguém apenas se divertindo ao me ver sofrer, mas parece ter sido uma decisão coletiva.”
A Microsoft já havia informado que apoia a divulgação coordenada de vulnerabilidades e que está comprometida em investigar problemas de segurança reportados e proteger os clientes por meio de atualizações.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...