Se ha emitido una alerta crítica de seguridad tras la publicación pública de un exploit de Prueba de Concepto (PoC) funcional bautizado como “MiniPlasma”. Este código, publicado por un investigador conocido como “Chaotic Eclipse”, expone una vulnerabilidad de Elevación de Privilegios Local (LPE) que permite a un atacante obtener acceso con permisos máximos (NT AUTHORITY\SYSTEM) en sistemas Microsoft Windows completamente actualizados (incluyendo Windows 11 y Windows Server 2025). La investigación revela un dato alarmante: este fallo estructural corresponde a una vulnerabilidad originalmente reportada por Google Project Zero y supuestamente parcheada por Microsoft en diciembre de 2020 bajo el identificador CVE-2020-17103, lo que sugiere que el parche nunca fue efectivo o fue revertido silenciosamente en actualizaciones posteriores.
Anatomía de la Vulnerabilidad (“MiniPlasma”)
El análisis técnico de la Prueba de Concepto (disponible en GitHub) y validado por analistas independientes detalla el siguiente mecanismo de explotación:
- Componente Afectado: La vulnerabilidad reside en el controlador de filtro de archivos en la nube de Windows (Windows Cloud Files Mini Filter Driver), específicamente en el binario cldflt.sys y su rutina interna HsmOsBlockPlaceholderAccess.
- Manipulación de Registro (API No Documentada): El fallo permite la manipulación de claves del registro a través de una API no documentada del controlador. Un atacante, operando desde una sesión de red no autenticada o una cuenta local básica, puede crear una clave en el hive de usuario .DEFAULT sin que el sistema operativo realice las comprobaciones de acceso (access checks) adecuadas.
- Ejecución y Condición de Carrera: Aprovechando una condición de carrera (race condition), el exploit logra invocar la vulnerabilidad y obtener una consola de comandos (cmd.exe) interactiva ejecutándose directamente bajo el contexto de SYSTEM. El investigador ha confirmado que el PoC original de Google de 2020 funciona hoy en día sin necesidad de ninguna modificación profunda.
Impacto (Riesgo en Evasión y Persistencia)
- Compromiso Total del Endpoint: Al lograr la escalada a SYSTEM, un atacante que haya conseguido un acceso inicial de bajos privilegios (por ejemplo, un empleado malicioso, o un atacante tras una campaña de phishing) obtiene control irrestricto sobre la máquina.
- Ceguera de Seguridad (EDR Bypass): Con permisos de SYSTEM, el actor de amenazas cuenta con la autoridad para terminar procesos de seguridad críticos, desactivar la telemetría de los agentes XDR/EDR, extraer credenciales cacheadas de la memoria (LSASS) y establecer una persistencia indetectable a nivel de kernel.
- Afectación Generalizada Confirmada: Analistas de la industria (como Will Dormann de Tharros) han validado que el exploit es altamente confiable en estaciones de trabajo ejecutando Windows 11 con los últimos parches de seguridad instalados hasta mayo de 2026.
Recomendaciones y Mitigación
Dado que este fallo representa un Zero-Day fáctico (al no existir un parche actual que lo detenga) y su código de explotación es público, los equipos de TI y SOC deben implementar una defensa proactiva:
- Monitoreo Conductual Estricto (Threat Hunting): Calibrar las reglas de los sistemas EDR para detectar la generación anómala de procesos secundarios de alto privilegio (como cmd.exe o powershell.exe) que se originen desde contextos de usuario estándar pero que logren ejecutarse con integridad de nivel SYSTEM.
- Auditoría de Registro: Instrumentar alertas inmediatas sobre cualquier intento de escritura, modificación o creación de claves inusuales dentro del hive de registro .DEFAULT por parte de procesos no vinculados a actualizaciones legítimas del sistema operativo.
- Control de Aplicaciones (Hardening Local): Implementar políticas de AppLocker o Windows Defender Application Control (WDAC) para bloquear la ejecución de binarios no firmados corporativamente, reduciendo la probabilidad de que un atacante logre lanzar el ejecutable compilado de “MiniPlasma” en la máquina de la víctima.
- Vigilancia de Parches Fuera de Ciclo: Mantener una estrecha supervisión sobre los boletines del Centro de Respuestas de Seguridad de Microsoft (MSRC), preparándose para un despliegue de parcheo de emergencia o fuera de banda una vez que Microsoft asigne un nuevo CVE o corrija el fallo original de forma definitiva.
