Un investigador de ciberseguridad conocido como **Chaotic Eclipse**, o Nightmare Eclipse, ha lanzado un exploit de prueba de concepto para un zero-day de escalada de privilegios en Windows denominado "MiniPlasma". El investigador publicó tanto el código fuente como un ejecutable compilado en GitHub, afirmando que **Microsoft** no logró parchear adecuadamente una vulnerabilidad reportada previamente en 2020. ### La Vulnerabilidad MiniPlasma Según el investigador, la falla afecta al driver Cloud Filter `cldflt.sys` y su rutina `HsmOsBlockPlaceholderAccess`. Esta vulnerabilidad fue reportada originalmente a Microsoft por el investigador de **Google Project Zero**, James Forshaw, en septiembre de 2020. En ese momento, a la falla se le asignó el identificador **CVE-2020-17103** y supuestamente se corrigió en diciembre de 2020. "Después de investigar, resulta que el mismo problema que fue reportado a Microsoft por Google Project Zero todavía está presente, sin parches", explica Chaotic Eclipse. "No estoy seguro si Microsoft simplemente nunca parcheó el problema o si el parche se revirtió silenciosamente en algún momento por razones desconocidas. El PoC original de Google funcionó sin ningún cambio." **BleepingComputer** probó el exploit en un sistema Windows 11 Pro completamente parcheado que ejecutaba las últimas actualizaciones del Patch Tuesday de mayo de 2026. La prueba elevó con éxito una cuenta de usuario estándar a privilegios SYSTEM después de ejecutar el exploit.  Will Dormann, analista principal de vulnerabilidades en **Tharros**, también confirmó que el exploit funciona en sus pruebas en la última versión pública de Windows 11. Sin embargo, señaló que la falla no funciona en la última compilación Insider Preview Canary de Windows 11. El exploit parece abusar de cómo el driver Cloud Filter de Windows maneja la creación de claves de registro a través de una API no documentada CfAbortHydration. El informe original de Forshaw indicó que la falla podría permitir la creación de claves de registro arbitrarias en la colmena de usuarios .DEFAULT sin las comprobaciones de acceso adecuadas, lo que podría permitir la escalada de privilegios. Si bien Microsoft informa haber corregido el error como parte de su Microsoft Patch Tuesday de diciembre de 2020, Chaotic Eclipse afirma que la vulnerabilidad aún se puede explotar. BleepingComputer se ha puesto en contacto con Microsoft para obtener comentarios y actualizará la historia según sea necesario. ### Una Serie de Divulgaciones de Zero-Day MiniPlasma es la última de una serie de divulgaciones de zero-day de Windows publicadas por el investigador en las últimas semanas. La racha de divulgaciones comenzó en abril con **BlueHammer**, una falla de escalada de privilegios local en Windows rastreada como CVE-2026-33825, seguida de otra vulnerabilidad de escalada de privilegios, **RedSun**, y una herramienta de DoS de Windows Defender, **UnDefend**. Tras su divulgación, se informó que las tres vulnerabilidades fueron explotadas en ataques. Según el investigador, Microsoft parcheó silenciosamente el problema de RedSun sin asignarle un identificador CVE. Este mes, el investigador también lanzó dos exploits adicionales llamados **YellowKey** y **GreenPlasma**. YellowKey es una omisión de **BitLocker** que afecta a Windows 11 y Windows Server 2022/2025 que genera un shell de comandos, otorgando acceso a unidades desbloqueadas protegidas por configuraciones de BitLocker solo con TPM. Chaotic Eclipse ha declarado que está divulgando públicamente estos zero-days de Windows en protesta contra el programa de recompensas por errores y el proceso de manejo de vulnerabilidades de Microsoft. "Normalmente, pasaría por el proceso de rogarles que arreglen un error, pero para resumir, me dijeron personalmente que arruinarían mi vida y lo hicieron, y no estoy seguro de si fui el único que tuvo esta horrible experiencia o si pocas personas la tuvieron, pero creo que la mayoría simplemente lo aceptaría y cortaría sus pérdidas, pero para mí, se lo llevaron todo", alegó el investigador. "Me pisotearon y jugaron todos los juegos infantiles que pudieron. Fue tan malo en algún momento que me preguntaba si estaba tratando con una corporación masiva o con alguien que simplemente se estaba divirtiendo viéndome sufrir, pero parece ser una decisión colectiva." Microsoft ha declarado anteriormente que apoya la divulgación coordinada de vulnerabilidades y está comprometido a investigar los problemas de seguridad reportados y proteger a los clientes a través de actualizaciones.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas de pruebas de penetración automatizadas ofrecen un valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)