El día cero MiniPlasma da acceso al SISTEMA en Windows 11 totalmente parcheado

Un investigador conocido como Chaotic Eclipse ha publicado un exploit de escalada de privilegios de Windows que funciona y concede acceso al SISTEMA en máquinas Windows 11 totalmente parcheadas, incluidas las que ejecutan la última actualización del martes de parches 2026 de mayo.

El exploit, denominado MiniPlasma, se publicó recientemente junto con el código fuente y un ejecutable compilado en GitHub. BleepingComputer confirmó que funciona en una cuenta de usuario estándar, abriendo un símbolo del sistema a nivel de sistema en una nueva instalación de Windows 11 Pro. El investigador de seguridad Will Dormann, de Tharros, verificó los resultados de forma independiente.

Un fallo que supuestamente iba a solucionarse en 2020

El fallo se encuentra en el controlador del Filtro de Nube de Windows, cldflt.sys, concretamente en una rutina llamada HsmOsBlockPlaceholderAccess. El fallo no es nuevo. El investigador del Proyecto Cero de Google James Forshaw informó del mismo problema a Microsoft en septiembre de 2020, y se le asignó CVE-2020-17103 y supuestamente se parcheó en diciembre de ese año. Chaotic Eclipse ejecutó la prueba de concepto original de Forshaw sin modificar e informa de que funcionó tal cual. "No estoy seguro de si Microsoft simplemente nunca parcheó el problema o el parche fue silenciosamente revertido en algún momento por razones desconocidas", escribió el investigador en la divulgación.

El exploit abusa de la forma en que el controlador del Filtro Nube gestiona la creación de claves de registro a través de una API no documentada, permitiendo a un usuario estándar crear claves de registro arbitrarias en la colmena de usuarios .DEFAULT sin las comprobaciones de acceso que deberían impedirlo. Implica una condición de carrera, por lo que la tasa de éxito varía, pero los resultados confirmados de BleepingComputer resultados confirmados sugieren que es lo suficientemente fiable en hardware real. Una excepción: no funciona en la última compilación Canary de Windows 11 Insider Preview.

Parte de una campaña deliberada

MiniPlasma es otra revelación de día cero de Windows de Chaotic Eclipse en las últimas seis semanas. El investigador comenzó en abril con BlueHammer, una vulnerabilidad de escalada de privilegios local de Windows Defender que Microsoft parcheó el martes de parches del 14 de abril como CVE-2026-33825, apenas unos días después de que se revelara públicamente el 3 de abril. A ésta le siguió RedSun, una segunda LPE en Defender que, según se informa, Microsoft corrigió silenciosamente sin asignar un CVE. UnDefend, una herramienta de denegación de servicio de Defender que bloquea las actualizaciones de las definiciones de seguridad, fue la siguiente. Luego YellowKey, un bypass de BitLocker que desbloquea las unidades cifradas a través del entorno de recuperación WinRE. Luego GreenPlasma, una escalada de privilegios del marco CTFMON para la que el investigador retuvo parte del código del exploit. Ahora MiniPlasma.

Los tres exploits originales, BlueHammer, RedSun y UnDefend, fueron confirmados como explotados en ataques reales por los investigadores de Huntress poco después de su divulgación pública. El investigador es explícito sobre el motivo de su publicación: insatisfacción con la forma en que Microsoft gestiona los informes de recompensas por fallos y la verificación de parches. Microsoft no ha hecho comentarios específicos sobre MiniPlasma. La compañía dijo previamente a BleepingComputer que "apoya la divulgación coordinada de vulnerabilidades" como una práctica ampliamente adoptada en la industria.