MiniPlasma: Nova Vulnerabilidade Zero-Day no Windows Permite Escalada de Privilégios
Um novo exploit zero-day, chamado MiniPlasma, foi revelado para Windows, permitindo a escalada de privilégios para o nível SYSTEM. A vulnerabilidade, relacionada ao driver Cloud Filter (cldflt.sys), persiste desde 2020, apesar das alegações de correção da Microsoft.
MundiX News·18 de maio de 2026·2 min de leitura·👁 5 views
O pesquisador de segurança Chaotic Eclipse (também conhecido como Nightmare Eclipse) publicou no GitHub um novo exploit zero-day para Windows, batizado de MiniPlasma. A vulnerabilidade permite a escalada local de privilégios para o nível SYSTEM em sistemas Windows 11 totalmente atualizados.
De acordo com o especialista, o problema está relacionado ao driver Cloud Filter (cldflt.sys) e à função HsmOsBlockPlaceholderAccess. A questão não é um novo bug: Chaotic Eclipse afirma que a Microsoft não corrigiu a vulnerabilidade, que foi relatada em setembro de 2020 pelo especialista do Google Project Zero, James Forshaw. Na época, o problema recebeu o identificador CVE-2020-17103, e em dezembro de 2020, a Microsoft afirmou ter lançado uma correção. No entanto, o pesquisador agora alega que o bug ainda funciona sem nenhuma alteração no código PoC original.
"Após investigação, descobriu-se que o mesmo problema que o Google Project Zero relatou à Microsoft ainda existe e não foi corrigido", escreve Chaotic Eclipse. Segundo ele, não está claro se o bug nunca foi corrigido ou se a correção foi posteriormente "silenciosamente revertida". Jornalistas da Bleeping Computer relataram que testaram o exploit em um Windows 11 Pro totalmente atualizado com os patches de maio instalados. Usando uma conta de usuário normal, eles conseguiram abrir o prompt de comando com privilégios SYSTEM. A capacidade de funcionamento do MiniPlasma também foi confirmada pelo analista líder de vulnerabilidades da Tharros, Will Dormann. No entanto, segundo ele, o exploit não funciona nas últimas compilações Insider Canary do Windows 11, o que pode indicar uma correção oculta do problema nas versões de teste do sistema operacional.
Presume-se que a vulnerabilidade esteja relacionada a uma API CfAbortHydration não documentada e a um erro na forma como o driver Windows Cloud Filter lida com a criação de chaves de registro. No relatório original de Forshaw, foi dito que este bug permite a criação de chaves de registro arbitrárias no hive .DEFAULT sem verificações de acesso adequadas, o que abre caminho para a escalada de privilégios. Vale lembrar que o MiniPlasma não é o primeiro exploit zero-day publicado por Nightmare Eclipse. Em abril e maio de 2026, o pesquisador divulgou os exploits BlueHammer, RedSun e UnDefend, e posteriormente publicou os exploits YellowKey (bypass do BitLocker) e GreenPlasma (bug para escalada local de privilégios). Ao mesmo tempo, ele declara abertamente que revela o zero-day em protesto contra a política da Microsoft e o trabalho dos especialistas do Microsoft Security Response Center (MSRC). O pesquisador afirma que representantes da empresa supostamente o ameaçaram e prometeram "arruinar sua vida". Anteriormente, a Microsoft informou aos jornalistas que adere ao princípio da divulgação coordenada de vulnerabilidades, sob o qual os detalhes dos bugs são publicados somente após a liberação das correções. A empresa garantiu que investiga todos os relatos de vulnerabilidades para lançar correções o mais rápido possível para proteger os usuários.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O pesquisador de segurança Chaotic Eclipse (também conhecido como Nightmare Eclipse) publicou no GitHub um novo exploit zero-day para Windows, batizado de MiniPlasma. A vulnerabilidade permite a escalada local de privilégios para o nível SYSTEM em sistemas Windows 11 totalmente atualizados.
De acordo com o especialista, o problema está relacionado ao driver Cloud Filter (cldflt.sys) e à função HsmOsBlockPlaceholderAccess. A questão não é um novo bug: Chaotic Eclipse afirma que a Microsoft não corrigiu a vulnerabilidade, que foi relatada em setembro de 2020 pelo especialista do Google Project Zero, James Forshaw. Na época, o problema recebeu o identificador CVE-2020-17103, e em dezembro de 2020, a Microsoft afirmou ter lançado uma correção. No entanto, o pesquisador agora alega que o bug ainda funciona sem nenhuma alteração no código PoC original.
"Após investigação, descobriu-se que o mesmo problema que o Google Project Zero relatou à Microsoft ainda existe e não foi corrigido", escreve Chaotic Eclipse. Segundo ele, não está claro se o bug nunca foi corrigido ou se a correção foi posteriormente "silenciosamente revertida". Jornalistas da Bleeping Computer relataram que testaram o exploit em um Windows 11 Pro totalmente atualizado com os patches de maio instalados. Usando uma conta de usuário normal, eles conseguiram abrir o prompt de comando com privilégios SYSTEM. A capacidade de funcionamento do MiniPlasma também foi confirmada pelo analista líder de vulnerabilidades da Tharros, Will Dormann. No entanto, segundo ele, o exploit não funciona nas últimas compilações Insider Canary do Windows 11, o que pode indicar uma correção oculta do problema nas versões de teste do sistema operacional.
Presume-se que a vulnerabilidade esteja relacionada a uma API CfAbortHydration não documentada e a um erro na forma como o driver Windows Cloud Filter lida com a criação de chaves de registro. No relatório original de Forshaw, foi dito que este bug permite a criação de chaves de registro arbitrárias no hive .DEFAULT sem verificações de acesso adequadas, o que abre caminho para a escalada de privilégios. Vale lembrar que o MiniPlasma não é o primeiro exploit zero-day publicado por Nightmare Eclipse. Em abril e maio de 2026, o pesquisador divulgou os exploits BlueHammer, RedSun e UnDefend, e posteriormente publicou os exploits YellowKey (bypass do BitLocker) e GreenPlasma (bug para escalada local de privilégios). Ao mesmo tempo, ele declara abertamente que revela o zero-day em protesto contra a política da Microsoft e o trabalho dos especialistas do Microsoft Security Response Center (MSRC). O pesquisador afirma que representantes da empresa supostamente o ameaçaram e prometeram "arruinar sua vida". Anteriormente, a Microsoft informou aos jornalistas que adere ao princípio da divulgação coordenada de vulnerabilidades, sob o qual os detalhes dos bugs são publicados somente após a liberação das correções. A empresa garantiu que investiga todos os relatos de vulnerabilidades para lançar correções o mais rápido possível para proteger os usuários.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
