19 de Mayo de 2026

MiniPlasma revive una antigua falla y permite obtener privilegios SYSTEM en Windows 11 actualizado

La técnica reutiliza comportamientos asociados a CVE-2020-17103 y pone nuevamente bajo la lupa al controlador cldflt.sys en Windows 11.

La seguridad de Windows vuelve a quedar bajo análisis tras la publicación de MiniPlasma, una prueba de concepto (PoC) capaz de escalar privilegios locales hasta nivel SYSTEM incluso en equipos con Windows 11 completamente parcheados a mayo de 2026.
El hallazgo no representa un vector de intrusión inicial por sí mismo, pero sí una amenaza crítica en escenarios de post-explotación. En términos prácticos, un atacante que ya haya conseguido acceso limitado mediante phishing, malware o ejecución de archivos maliciosos podría utilizar esta técnica para tomar control total del sistema operativo.
La vulnerabilidad se relaciona directamente con el componente Windows Cloud Filter, específicamente con el controlador cldflt.sys, y con un comportamiento vinculado históricamente a CVE-2020-17103, una vulnerabilidad de elevación de privilegios que Microsoft consideraba corregida desde diciembre de 2020. 

Cómo funciona MiniPlasma

La técnica explotada gira en torno a una API no documentada llamada CfAbortHydration, la cual aparentemente puede provocar condiciones que permiten crear entradas arbitrarias en el Registro de Windows sin aplicar correctamente las validaciones de permisos.

Según el análisis técnico divulgado, el exploit manipula operaciones relacionadas con placeholders y funciones internas como HsmOsBlockPlaceholderAccess, logrando escribir claves dentro del hive .DEFAULT. Esto permitiría preparar escenarios donde procesos maliciosos obtengan posteriormente permisos SYSTEM.

Uno de los aspectos más preocupantes es que el PoC fue validado exitosamente en versiones públicas y totalmente actualizadas de Windows 11. Sin embargo, investigadores indican que la explotación no habría funcionado en ciertas compilaciones Insider Preview Canary, lo que podría sugerir cambios internos o mitigaciones aún no liberadas al canal estable.

Debido a que el comportamiento se presenta como una posible race condition, la efectividad del exploit puede variar dependiendo de factores como carga del sistema, timing y hardware utilizado.

Una posible reaparición de CVE-2020-17103

La comunidad de seguridad interpreta este caso como una posible persistencia o reintroducción de CVE-2020-17103, una vulnerabilidad de elevación de privilegios con puntuación CVSS 7.0 descubierta hace más de cinco años.

Incluso se ha señalado que un antiguo PoC atribuido a investigadores de Google Project Zero podría seguir funcionando prácticamente sin modificaciones, reforzando las sospechas sobre una corrección incompleta o un comportamiento reincorporado en versiones posteriores de Windows.

Por ahora, Microsoft confirmó que se encuentra investigando el incidente y evaluando medidas de protección adicionales para sus clientes.

Cloud Files vuelve a ser objetivo crítico

El incidente también vuelve a poner el foco sobre el ecosistema Windows Cloud Files, que en los últimos años se ha convertido en un objetivo recurrente para ataques de elevación de privilegios.

En diciembre de 2025, Microsoft corrigió CVE-2025-62221, un fallo tipo use-after-free dentro del mismo subsistema y cuya explotación activa fue detectada en entornos reales.

Este tipo de vulnerabilidades son especialmente valiosas para atacantes porque permiten:

  • Desactivar soluciones de seguridad.
  • Obtener credenciales privilegiadas.
  • Facilitar movimiento lateral dentro de redes corporativas.
  • Mantener persistencia avanzada en endpoints comprometidos.

No es casualidad que gran parte de los boletines recientes de Patch Tuesday estén concentrados precisamente en vulnerabilidades de elevación de privilegios.

Recomendaciones para administradores y equipos SOC

Ante la publicación pública del PoC, especialistas recomiendan reforzar inmediatamente las capacidades de detección y respuesta.

Entre las medidas sugeridas destacan:

  • Bloquear y detectar binarios asociados a MiniPlasma mediante EDR.
  • Supervisar actividad anómala sobre el Registro de Windows.
  • Incrementar monitoreo sobre rutas específicas como:
    • \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps
    • \Registry\User\.DEFAULT\Volatile Environment
  • Revisar políticas de mínimo privilegio.
  • Restringir ejecución de binarios para usuarios estándar.
  • Validar exposición en laboratorios antes de desplegar mitigaciones masivas.

También se recomienda identificar equipos donde el subsistema Cloud Files y el controlador cldflt.sys tengan alta relevancia operativa, especialmente en organizaciones que utilizan sincronización avanzada con servicios cloud.

PowerShell y post-explotación: un riesgo persistente

Aunque MiniPlasma no depende directamente de PowerShell, investigadores recuerdan que muchas cadenas de ataque reales combinan herramientas administrativas legítimas con técnicas de escalada local.

Por ello, sigue siendo fundamental revisar scripts que utilicen Invoke-WebRequest, evitar parámetros inseguros y fortalecer controles que reduzcan la posibilidad de obtener el acceso inicial que posteriormente pueda convertirse en privilegios SYSTEM.

Más información

Regresar
Scroll al inicio