Zero-Day 'MiniPlasma' no Windows Explora Driver de Arquivos na Nuvem para Escalar Privilégios para SYSTEM
Uma nova vulnerabilidade zero-day, apelidada de **MiniPlasma**, foi divulgada, afetando o Driver Mini Filter de Arquivos na Nuvem do Windows (cldflt.sys). Essa falha permite que atacantes obtenham privilégios SYSTEM em sistemas Windows totalmente corrigidos, potencialmente contornando medidas de segurança existentes.
**Chaotic Eclipse**, o pesquisador de segurança conhecido por divulgar recentemente falhas no Windows como YellowKey e GreenPlasma, lançou um proof-of-concept (PoC) para uma falha zero-day de escalonamento de privilégios no Windows. Essa vulnerabilidade permite que atacantes obtenham privilégios SYSTEM em sistemas Windows totalmente corrigidos.
### MiniPlasma: Análise Profunda da Vulnerabilidade
A vulnerabilidade, codinome **MiniPlasma**, afeta o "cldflt.sys", o **Windows** Cloud Files Mini Filter Driver. O problema reside em uma rotina chamada "HsmOsBlockPlaceholderAccess". Ela foi originalmente reportada à **Microsoft** pelo pesquisador do **Google Project Zero**, James Forshaw, em setembro de 2020.
### Um Patch Que Não Foi?
Embora se acreditasse que a **Microsoft** abordou a deficiência em dezembro de 2020 como parte da **CVE-2020-17103**, Chaotic Eclipse afirma que investigações adicionais revelaram que "exatamente o mesmo problema [...] ainda está presente, sem correção".
"Não tenho certeza se a **Microsoft** simplesmente nunca corrigiu o problema ou se o patch foi silenciosamente revertido em algum momento por razões desconhecidas. O PoC original do **Google** funcionou sem nenhuma alteração", declarou o pesquisador. "Para destacar esse problema, eu armei o PoC original para gerar um shell SYSTEM. Parece funcionar de forma confiável em minhas máquinas, mas a taxa de sucesso pode variar, pois é uma condição de corrida."
O pesquisador sugere que todas as versões do **Windows** provavelmente são afetadas por essa vulnerabilidade.
### Impacto no Mundo Real Confirmado
O pesquisador de segurança Will Dormann confirmou no Mastodon que o MiniPlasma abre "confiavelmente" um prompt "cmd.exe" com privilégios SYSTEM em sistemas **Windows 11** executando as atualizações mais recentes de maio de 2026. No entanto, Dormann observou que não parece funcionar nas builds mais recentes do Insider Preview Canary do **Windows 11**.
### Histórico de Vulnerabilidades no cldflt.sys
Em dezembro de 2025, a **Microsoft** corrigiu outra falha de escalonamento de privilégios no mesmo componente (**CVE-2025-62221**, pontuação CVSS: 7.8), que foi relatado como explorado por atores de ameaça desconhecidos.