Estamos cientes de uma PoC publicada no dia 14/05/2026 em um repositório no GitHub pelo pesquisador Chaotic Eclipse, já conhecido no meio por encontrar outras vulnerabilidades, como a BlueHammer e a RedSun, as quais já foram tratadas em outras publicações no Diário.

Contexto e Origem

O MiniPlasma é um zero-day de elevação de privilégios no Windows que afeta o driver cldflt.sys, do Windows Cloud Filter, associado à rotina HsmOsBlockPlaceholderAccess, a qual é responsável por gerenciar operações de sincronização de arquivos em nuvem, como do OneDrive, utilizando placeholders de arquivos presentes em nuvem.

Segundo o pesquisador, após uma investigação na técnica utilizada pela PoC GreenPlasma, recentemente publicada por ele mesmo, foi possível observar o driver ainda vulnerável ao mesmo problema reportado por James Forshaw, do Google Project Zero, para a Microsoft há 6 anos atrás.

Em setembro de 2020, a falha foi reportada e recebeu o identificador CVE-2020-17103, e supostamente foi corrigida pela empresa em dezembro do mesmo ano. Entretanto, como foi apontado pelo pesquisador, a vulnerabilidade continua sendo explorada em sistemas Windows e possui uma atualização de hoje (18/05/2026) no NVD.

Exploração da Vulnerabilidade

A exploração começa quando um usuário comum executa o programa malicioso, que chama uma API do Windows chamada CfAbortHydration. Essa API faz parte do driver de arquivos em nuvem (cldflt.sys) e foi criada originalmente para impedir que aplicativos baixem arquivos do OneDrive.

Quando essa API é chamada, ela ativa a função interna HsmOsBlockPlaceholderAccess, responsável por criar um registro de bloqueio para impedir que o aplicativo baixe arquivos da nuvem. Para isso, é criada uma chave de registro responsável por armazenar a regra. Entretanto, a criação dessa chave de registro é realizada pela rotina sem a verificação se o usuário possui permissão de escrita, por não utilizar a flag de segurança OBJ_FORCE_ACCESS_CHECK responsável por tratar esse problema.

Seguindo na exploração, quando o Windows tenta abrir a hive do usuário atual para a escrita de chaves e falha, o sistema tenta abrir automaticamente a hive .DEFAULT, que é padrão do sistema e possui privilégios elevados. Assim, para que essa falha aconteça, o atacante usa uma condição de corrida com duas threads, alternando rapidamente entre usar um token anônimo que não tem hive própria e o token do usuário real, com o objetivo de forçar a utilização da hive .DEFAULT. Antes de abrir a .DEFAULT o token é trocado de volta para o usuário real, mas como a etapa de verificação de acesso já passou, a chave é corretamente criada.

Com a habilidade de criar chaves arbitrárias na .DEFAULT, o atacante pode explorá-la de várias formas. Na PoC MiniPlasma, após a criação da chave, ele executa um cmd.exe como privilégios de SYSTEM. Outra abordagem, proposta pelo pesquisador original, consiste na escrita sobre a chave Volatile Environment, que permite definir variáveis de ambiente carregadas para todos os usuários do sistema, permitindo a execução de código malicioso com privilégios altos.

Versões Afetadas

Conforme o que foi divulgado até o momento, as últimas atualizações do Windows continuam vulneráveis. Foi realizado um teste pelo BleepingComputer, obtendo sucesso em abrir um cmd.exe como privilégio de SYSTEM por meio de um usuário padrão do sistema.

No dia 16/05/2026 também foi realizada uma publicação pelo analista Will Dormann, confirmando a vulnerabilidade e funcionamento da PoC no sistema Windows 11 (incluindo o 26H1) com os updates mais recentes do mês de maio.

A única EXCEÇÃO é que a vulnerabilidade não funciona na versão Windows 11 Insider Preview Canary, uma versão de testes do Windows disponibilizada para inscritos no Programa Windows Insider.

Mitigações

Ainda não existem correções ou comentários pela Microsoft sobre essa vulnerabilidade que voltou à tona. Segundo o que foi dito pela empresa anteriormente ao BleepingComputer, ela apoia a divulgação coordenada de vulnerabilidades, como uma prática comum do setor.

Ainda assim, enquanto não existem correções, são sugeridas as seguintes mitigações:

• Observar tentativas incomuns de criação de chaves de registro na hive .DEFAULT ou atividades relacionadas ao driver cldflt.sys.
• Bloquear/monitorar requisições e aplicações que solicitem a criação de chaves de registro sem a flag de segurança OBJ_FORCE_ACCESS_CHECK.

Vale ressaltar que a vulnerabilidade é utilizada para a escalação de privilégios, e possui como alvo sistemas Windows que já possuam um coprometimento inicial em nível de usuário.

Referências

[1] NIST. CVE-2020-17103 Detail. Disponível em: https://nvd.nist.gov/vuln/detail/cve-2020-17103. Acesso em: 18 março de 2026.

[2] The Hacker News. MiniPlasma Windows 0-Day Enables SYSTEM Privilege Escalation on Fully Patched Systems. Disponível em: https://thehackernews.com/2026/05/miniplasma-windows-0-day-enables-system.html. Acesso em: 18 de março de 2026.

[3] Project Zero. Windows: Cloud Filter HsmOsBlockPlaceholderAccess Registry Key Creation EoP. Disponível em: https://project-zero.issues.chromium.org/issues/42451192. Acesso em: 18 de março de 2026.

[4] BleepingComputer. New Windows ‘MiniPlasma’ zero-day exploit gives SYSTEM access, PoC released. Disponível em: https://www.bleepingcomputer.com/news/microsoft/new-windows-miniplasma-zero-day-exploit-gives-system-access-poc-released/. Acesso em: 18 de março de 2026.