O dia zero do MiniPlasma dá acesso ao SISTEMA no Windows 11 totalmente corrigido

Um pesquisador conhecido como Chaotic Eclipse lançou um exploit funcional de escalonamento de privilégios no Windows que concede acesso ao SISTEMA em máquinas Windows 11 totalmente corrigidas, incluindo aquelas que executam a última atualização do Patch Tuesday de maio de 2026.

O exploit, chamado MiniPlasma, foi publicado recentemente junto com o código-fonte e um executável compilado no GitHub. A BleepingComputer confirmou que ele funciona em uma conta de usuário padrão, abrindo um prompt de comando no nível do SISTEMA em uma nova instalação do Windows 11 Pro. O pesquisador de segurança Will Dormann, da Tharros, verificou os resultados de forma independente.

Um bug que deveria ter sido corrigido em 2020

A falha está no driver do Windows Cloud Filter, cldflt.sys, especificamente em uma rotina chamada HsmOsBlockPlaceholderAccess. O bug não é novo. O pesquisador do Google Project Zero, James Forshaw, relatou o mesmo problema à Microsoft em setembro de 2020, e ele foi atribuído ao CVE-2020-17103 e supostamente corrigido em dezembro daquele ano. O Chaotic Eclipse executou a prova de conceito original de Forshaw sem modificações e relata que ela funcionou como está. "Não tenho certeza se a Microsoft simplesmente nunca corrigiu o problema ou se a correção foi silenciosamente revertida em algum momento por razões desconhecidas", escreveu o pesquisador na divulgação.

A exploração abusa da forma como o driver do Cloud Filter lida com a criação de chaves de registro por meio de uma API não documentada, permitindo que um usuário padrão crie chaves de registro arbitrárias no hive de usuário .DEFAULT sem as verificações de acesso que deveriam impedi-las. Isso envolve uma condição de corrida, portanto, a taxa de sucesso varia, mas os resultados confirmados do BleepingComputer sugerem que ele é confiável o suficiente em hardware real. Uma exceção: ele não funciona na versão mais recente do Windows 11 Insider Preview Canary.

Parte de uma campanha deliberada

O MiniPlasma é mais uma revelação de dia zero do Windows feita pelo Chaotic Eclipse nas últimas seis semanas. O pesquisador começou em abril com o BlueHammer, uma vulnerabilidade de escalonamento de privilégios locais do Windows Defender que a Microsoft corrigiu na Patch Tuesday de 14 de abril como CVE-2026-33825, poucos dias depois de ter sido divulgada publicamente em 3 de abril. A isso se seguiu o RedSun, um segundo LPE no Defender que a Microsoft supostamente corrigiu silenciosamente sem atribuir um CVE. O UnDefend, uma ferramenta de negação de serviço do Defender que bloqueia atualizações de definições de segurança, veio em seguida. Em seguida, o YellowKey, um desvio do BitLocker que desbloqueia unidades criptografadas por meio do ambiente de recuperação do WinRE. Em seguida, o GreenPlasma, um escalonamento de privilégios da estrutura CTFMON para o qual o pesquisador reteve parte do código de exploração. Agora o MiniPlasma.

Todas as três explorações originais, BlueHammer, RedSun e UnDefend, foram confirmadas como sendo exploradas em ataques reais pelos pesquisadores da Huntress logo após a divulgação pública. O pesquisador é explícito sobre o motivo da divulgação: insatisfação com a forma como a Microsoft lida com relatórios de recompensa por bugs e verificação de patches. A Microsoft não comentou especificamente sobre o MiniPlasma. A empresa disse anteriormente à BleepingComputer que "apóia a divulgação coordenada de vulnerabilidades" como uma prática amplamente adotada pelo setor.