Chaotic Eclipse, los investigadores de seguridad detrás de las fallas de Windows YellowKey y GreenPlasma recientemente reveladas, han publicado una prueba de concepto (PoC) para una falla de día cero de escalada de privilegios de Windows que otorga a un atacante privilegios de SISTEMA en un sistema Windows completamente parcheado.
Con el nombre en clave MiniPlasma, la vulnerabilidad afecta a ‘cldflt.sys’, que se refiere al minicontrolador de filtro de archivos en la nube de Windows, y reside en una rutina llamada ‘HsmOsBlockPlaceholderAccess’, dijo, y agregó que la vulnerabilidad fue reportada por primera vez a Microsoft por el investigador de Google Project Zero, James Forshaw, en septiembre de 2020.
Se suponía que Microsoft había solucionado la falla en diciembre de 2020 como parte de CVE-2020-17103, pero Chaotic Eclipse dijo que una investigación adicional reveló que «exactamente el mismo problema (…) en realidad todavía existe sin parchear».
«No sabemos si Microsoft simplemente no solucionó este problema o si el parche fue revertido silenciosamente en algún momento por razones desconocidas. La prueba de concepto original de Google funcionó sin ningún cambio», agregaron los investigadores. «Para resaltar este problema, utilicé el PoC original como arma para generar un shell de SISTEMA. Parece funcionar de manera confiable en mi máquina, pero las tasas de éxito pueden variar debido a las condiciones de la carrera».
Los investigadores señalaron además que todas las versiones de Windows pueden verse afectadas por esta vulnerabilidad.
En una publicación compartida en Mastodon, el investigador de seguridad Will Dorman dijo que MiniPlasma funciona «de manera confiable» para abrir mensajes «cmd.exe» con privilegios de SISTEMA en sistemas Windows 11 que ejecutan la última actualización de mayo de 2026. «La última versión de Insider Preview Canary no parece funcionar en Windows 11», señaló Dormann.
En diciembre de 2025, Microsoft también solucionó otra falla de escalada de privilegios en el mismo componente (CVE-2025-62221, puntuación CVSS: 7.8), que identificamos como explotada por un atacante desconocido.
Source link
