Se ha publicado un PoC de MiniPlasma, una escalada local de privilegios en Windows que logra permisos SYSTEM incluso en Windows 11 totalmente actualizado a mayo de 2026. La técnica vuelve a poner el foco en cldflt.sys y en un comportamiento ligado a CVE-2020-17103, que se consideraba corregido desde 2020, mientras Microsoft afirma que lo está investigando.
La publicación de una prueba de concepto funcional para MiniPlasma eleva el riesgo defensivo en entornos Windows, no porque facilite una intrusión desde cero, sino porque convierte un acceso previo limitado en control total del equipo. En la práctica, este tipo de escalada local de privilegios (LPE) suele ser el paso decisivo tras un primer ‘foothold’, por ejemplo mediante phishing, documentos maliciosos o la ejecución de un instalador adulterado con permisos de usuario estándar.
La técnica se apoya en el componente Windows Cloud Filter, concretamente el controlador cldflt.sys, y en una rutina asociada al control de acceso a placeholders, citada como HsmOsBlockPlaceholderAccess. El abuso descrito gira alrededor de una API no documentada, CfAbortHydration, que permitiría forzar condiciones en las que se crean entradas del Registro de Windows sin las comprobaciones de permisos que cabría esperar. El resultado es la capacidad de crear claves arbitrarias en el hive .DEFAULT, lo que abre escenarios en los que un atacante local puede preparar el terreno para ejecutar acciones con privilegios máximos.
Lo más llamativo es que el PoC se ha verificado en Windows 11 en su versión pública más reciente y con las actualizaciones de Patch Tuesday de mayo de 2026 aplicadas. También se indica una confirmación independiente en esa misma rama estable. En cambio, no habría funcionado en una compilación específica de Windows 11 Insider Preview Canary, un detalle que sugiere diferencias en el código o mitigaciones presentes en canales de prueba. Además, al presentarse como una posible race condition, la fiabilidad del exploit puede variar entre sistemas, cargas y timing, algo habitual en defectos de esta naturaleza.
Este caso se interpreta como una reaparición o persistencia de CVE-2020-17103, una EoP con CVSS 7.0 que se daba por corregida en diciembre de 2020 y que ya se había relacionado con manipulación del registro mediante una API no documentada, incluyendo la creación de una clave en el hive DEFAULT sin controles de acceso. Incluso se apunta a que el PoC original atribuido a Google Project Zero podría funcionar sin cambios, lo que, de confirmarse, reforzaría la idea de una corrección incompleta o de un comportamiento reintroducido con el tiempo. Microsoft ha reconocido que está investigando el informe y que tomará medidas para proteger a los clientes.
En paralelo, conviene encajar este episodio en un patrón más amplio: el ecosistema de Windows Cloud Files ya ha sido un objetivo de alto valor. En diciembre de 2025 se corrigió CVE-2025-62221, un use after free en el mismo ámbito, y se identificó explotación activa. Es un recordatorio de que las elevaciones de privilegios, aunque no sean un vector de entrada, se utilizan para desactivar defensas, obtener credenciales y facilitar movimiento lateral. No es casual que, en el Patch Tuesday de mayo de 2026, Microsoft abordase un volumen muy alto de fallos, con una proporción relevante de vulnerabilidades de elevación de privilegios, lo que refuerza la necesidad de parchear rápido incluso aquello que ‘solo’ afecta a post explotación.
A nivel práctico, la prioridad inmediata es endurecer detección y respuesta. Resulta recomendable bloquear y detectar la ejecución de binarios asociados al PoC con reglas de EDR, y aumentar la telemetría sobre creación y modificación anómala de claves en el contexto de .DEFAULT. En particular, se proponen rutas concretas a vigilar por actividad compatible con esta técnica: \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps y \Registry\User\.DEFAULT\Volatile Environment. Junto a ello, conviene revisar el mínimo privilegio** real en estaciones y servidores, ajustar restricciones de ejecución para usuarios estándar y reforzar controles de post compromiso, especialmente en equipos que no puedan actualizarse de inmediato.
Para organizaciones con capacidad de ingeniería interna, es sensato validar la exposición mediante pruebas controladas en laboratorio, usando sistemas equivalentes a producción, antes de desplegar mitigaciones a gran escala. También es un buen momento para inventariar endpoints donde el subsistema Cloud Files y cldflt.sys sean relevantes, y verificar de forma continua que las actualizaciones se aplican correctamente, sobre todo tras la publicación de PoC públicos.
Por último, aunque no esté directamente conectado con MiniPlasma, la higiene operativa en PowerShell sigue siendo clave en cadenas de ataque reales. Revisar scripts administrativos que descargan contenido con Invoke WebRequest, evitando parámetros inseguros y aplicando UseBasicParsing cuando proceda, ayuda a reducir ejecuciones accidentales y a cerrar vías de abuso que a menudo proporcionan ese primer acceso local que luego se convierte en SYSTEM.
Más información
- BleepingComputer – New Windows ‘MiniPlasma’ zero-day exploit gives SYSTEM access, PoC released : https://www.bleepingcomputer.com/news/microsoft/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/
- The Hacker News – Mini Shai-Hulud Pushes Malicious AntV npm Packages via Compromised Maintainer Account : https://thehackernews.com/
- SecurityWeek – Researcher Drops MiniPlasma Windows Exploit for Unpatched 2020 CVE : https://www.securityweek.com/researcher-drops-miniplasma-windows-exploit-for-unpatched-2020-cve/
- The Hacker News – MiniPlasma Windows 0-Day Enables SYSTEM Privilege Escalation on Fully Patched Systems : https://thehackernews.com/2026/05/miniplasma-windows-0-day-enables-system.html
- Tenable – Microsoft’s May 2026 Patch Tuesday Addresses 118 CVEs (CVE-2026-41103) : https://www.tenable.com/blog/microsofts-may-2026-patch-tuesday-addresses-118-cves-cve-2026-41103
- CSO Online – December Patch Tuesday: Windows Cloud Files Mini Filter Driver hole already being exploited : https://www.csoonline.com/article/4103681/december-patch-tuesday-windows-cloud-files-mini-filter-driver-hole-already-being-exploited.html
- Malwarebytes – December Patch Tuesday fixes three zero-days, including one that hijacks Windows devices : https://www.malwarebytes.com/blog/news/2025/12/december-patch-tuesday-fixes-three-zero-days-including-one-that-hijacks-windows-devices
La entrada MiniPlasma: un PoC reabre una escalada local a SYSTEM en Windows 11 pese a estar parcheado se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí
No hay comentarios.:
Publicar un comentario