Nuevo exploit ‘MiniPlasma’ en Windows permite escalación de privilegios a SYSTEM sin parche

Introducción

El ecosistema de Microsoft Windows sigue siendo un objetivo prioritario para actores maliciosos debido a su adopción masiva en entornos corporativos y de cloud. Un reciente proof-of-concept (PoC) publicado por el investigador Chaotic Eclipse (también conocido como Nightmare Eclipse) demuestra que un zero-day de escalación de privilegios —denominado MiniPlasma— permite a un atacante con acceso inicial obtener privilegios SYSTEM en sistemas Windows 11 actualizados con los últimos parches de mayo de 2026.

Lo crítico no es solo que el exploit funcione, sino que evade un parche supuestamente aplicado en diciembre de 2020 (CVE-2020-17103). Según Chaotic Eclipse, Microsoft habría reintroducido la vulnerabilidad en actualizaciones posteriores sin asignarle un nuevo CVE, lo que convierte a MiniPlasma en un segundo impacto del mismo fallo original reportado por Google Project Zero en septiembre de 2020.

Qué ocurrió

Origen y timeline del fallo

En septiembre de 2020, el investigador James Forshaw de Google Project Zero reportó a Microsoft una vulnerabilidad en el driver cldflt.sys (Cloud Filter Driver), asignando el identificador CVE-2020-17103. Forshaw describió que la falla permitía la creación arbitraria de claves de registro en el hive .DEFAULT sin verificar permisos, lo que podría derivar en escalación de privilegios.

Microsoft implementó un parche en diciembre de 2020 como parte del Patch Tuesday. Sin embargo, en abril de 2026, Chaotic Eclipse descubrió que el fallo seguía presente en sistemas actualizados. El investigador publicó un PoC funcional en GitHub (repositorio) que:

• Abusa de la API CfAbortHydration (una función no documentada del driver).
• Permite crear claves de registro con privilegios elevados desde una cuenta de usuario estándar.
• Ejecuta un shell con privilegios SYSTEM en Windows 11 Pro (versión 26.10.25).

Confirmación independiente

El equipo de BleepingComputer validó el exploit en un entorno controlado:

1. Sistema: Windows 11 Pro 26.10.25 (último Patch Tuesday de mayo de 2026).
2. Cuenta: usuario estándar (sin privilegios administrativos).
3. Resultado: apertura de una terminal con privilegios SYSTEM.

Contexto de los últimos zero-days en Windows

MiniPlasma no es un caso aislado. En las últimas semanas, Chaotic Eclipse publicó cinco exploits para Windows:

1. BlueHammer (CVE-2026-33825, abril de 2026): escalación de privilegios.
2. RedSun: parcheado silenciosamente por Microsoft (sin CVE asignado).
3. UnDefend: herramienta de Denial of Service para Windows Defender.
4. YellowKey: bypass de BitLocker en Windows 11/Server 2022-2025 (acceso a unidades protegidas sin contraseña).
5. GreenPlasma: otro exploit no detallado públicamente.

El investigador alegó que estas publicaciones son una respuesta a su experiencia con el proceso de bug bounty de Microsoft, donde afirma haber sido desairado y amenazado. En declaraciones a BleepingComputer, declaró:

> «Me dijeron que arruinarían mi vida, y lo hicieron. […] Fue como jugar con alguien que se divierte viéndome sufrir.»

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Riesgo para entornos empresariales

1. Movimiento lateral en redes corporativas:

1. Bypass de controles de seguridad en cloud:

– En AWS EKS/AKS, si un pod usa una imagen con Windows, el exploit podría otorgar acceso al nodo (y desde allí, a otros recursos).

1. Exfiltración de datos:

Vector de ataque y prerequisitos

• Acceso inicial no administrativo al sistema (ej.: usuario estándar en una VM, estación de trabajo).
• Driver cldflt.sys cargado: presente en todas las instalaciones de Windows 10/11 y Windows Server 2019+.
• Ausencia de mitigaciones:

– No hay dependencia de Secure Boot o Hypervisor-Protected Code Integrity (HVCI) en el PoC publicado.

• El PoC de Chaotic Eclipse incluye un binario compilado (MiniPlasma.exe) y código fuente en C++.
• Se requiere ejecución local (no es remote code execution).

Detalles técnicos

Análisis del exploit

El exploit MiniPlasma funciona mediante los siguientes pasos:

1. Interacción con el driver cldflt.sys:

1. Abuso de CfAbortHydration:

– El exploit invoca CfAbortHydration con argumentos maliciosos para:

– Forzar la creación de una clave de registro en HKU\.DEFAULT\...\.

– Sobrescribir claves críticas (ej.: Winlogon\Shell) para ejecutar un shell con privilegios SYSTEM.

1. Ejecución de código:

– Al reiniciar la sesión (o forzar un logon), el shell se ejecuta con privilegios SYSTEM.

// Abuso de CfAbortHydration para crear clave maliciosa en .DEFAULT
NTSTATUS status = NtCreateKey(
    &hKey,
    KEY_WRITE,
    (POBJECT_ATTRIBUTES)&objAttr,
    0,
    NULL,
    REG_OPTION_NON_VOLATILE,
    &disposition
);
// Si disposition == REG_CREATED_NEW_KEY, clave creada con éxito

Comparación con el parche de 2020

Microsoft corrigió CVE-2020-17103 en KB4592451 (diciembre de 2020), pero el parche solo mitigaba el vector original:

• Original: El exploit de Forshaw requería acceso a un archivo placeholder malicioso.
• MiniPlasma: Elimina la necesidad de archivos y opera directamente sobre el driver, aprovechando una regresión no documentada.

• Cambios en el manejador de errores de cldflt.sys en actualizaciones posteriores.
• Modificaciones en el registry virtualization de Windows.

Qué deberían hacer los administradores y equipos técnicos

Acciones inmediatas (prioridad crítica)

1. Verificar la presencia del driver vulnerable

Ejecuten el siguiente comando para confirmar si cldflt.sys está cargado:

Get-WindowsDriver -Online -Driver "cldflt.sys" | Select-Object Name, Version, InfFile

• Versiones afectadas: Todas las de Windows 11/Server 2022+ (incluso con Patch Tuesday de mayo de 2026).

2. Deshabilitar el Cloud Filter Driver (temporal)

Si no usan OneDrive o Files On-Demand, desactiven el driver:

# Deshabilitar servicio CloudFilter
Stop-Service -Name "CldFlt" -Force
Set-Service -Name "CldFlt" -StartupType Disabled

3. Aplicar mitigaciones adicionales

• Bloquear la ejecución de cmd.exe desde Winlogon:

  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell" /t REG_SZ /d "explorer.exe" /f
  

• Habilitar HVCI y Code Integrity (recomendado para servidores):

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" -Name "Enabled" -Value 1
  

4. Monitoreo de detección

Configuren reglas en Microsoft Defender for Endpoint para detectar:

• Creación de claves en .DEFAULT.
• Cambios en Winlogon\Shell.
• Ejecución de MiniPlasma.exe (hash conocido: SHA256: 3a7b...).

rule MiniPlasma_Exploit {
    meta:
        description = "Detecta ejecuciones del PoC MiniPlasma"
    strings:
        $exe = "MiniPlasma.exe" nocase
        $cmd = "cmd.exe /c" nocase
    condition:
        any of them
}

Acciones a medio plazo

1. Seguir el Patch Tuesday de Microsoft

• Próximo parche esperado: Junio de 2026 (confirmado en el release notes de Microsoft).
• Verificar actualizaciones:

  Get-HotFix | Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-30) }
  

2. Revisar políticas de User Account Control

• Forzar el modo «Always Notify» en entornos de alta seguridad:

  reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnableLUA" /t REG_DWORD /d 1 /f
  

3. Auditar permisos de registro

• Revocación de permisos en .DEFAULT:

  icacls "C:\Windows\System32\config\DEFAULT" /reset /T
  

Conclusión

MiniPlasma es un recordatorio de que los zero-days no siempre son fallos nuevos: a veces son regresiones o parches incompletos. La publicación del PoC por parte de Chaotic Eclipse —en el contexto de sus quejas sobre el proceso de bug bounty de Microsoft— subraya la tensión entre investigadores y proveedores de software.

Para equipos de Seguridad, este exploit refuerza la necesidad de:

1. Priorizar la detección sobre la prevención (los controles tradicionales como UAC no son suficientes).
2. Auditar drivers periódicamente (especialmente en entornos cloud).
3. Preparar respuestas a incidentes para escalaciones de privilegios a SYSTEM.

Para DevOps/Cloud, la lección es clara: Windows no es inmune a fallos de kernel, y un exploit local puede escalar a compromisos de infraestructura completa. La mitigación requiere combinar parches, deshabilitación de componentes no críticos y monitoreo activo.