Un investigador que se hace llamar Chaotic Eclipse (también conocido como Nightmare Eclipse) ha publicado en GitHub un exploit de prueba de concepto llamado MiniPlasma que, según sus pruebas y las de terceros, permite escalar privilegios a SYSTEM en instalaciones de Windows que, en apariencia, están completamente parcheadas.
La vulnerabilidad afecta al driver Cloud Filter de Windows, identificado como cldflt.sys, y explota una rutina ligada al proceso de "hidratación" de archivos en la nube a través de una API no documentada (CfAbortHydration). La técnica permite crear entradas arbitrarias en la colmena de registro .DEFAULT sin las comprobaciones de acceso correctas, lo que puede servir como vector para elevar privilegios desde una cuenta de usuario estándar a SYSTEM.
Este fallo había sido reportado originalmente por James Forshaw de Google Project Zero en 2020 y asignado como CVE-2020-17103, con un parche publicado por Microsoft en diciembre de ese año. El punto central de la publicación de MiniPlasma es que, según Chaotic Eclipse, el problema persiste pese a aquel parche —o bien la corrección nunca llegó correctamente a todas las versiones o fue revertida—, y la PoC original de 2020 funcionó sin cambios sobre sistemas actuales.
Pruebas independientes realizadas por investigadores de medios y equipos de respuesta confirman que MiniPlasma funciona en versiones públicas recientes de Windows 11 (incluyendo ediciones con parches de mayo de 2026), aunque no en la última build Canary del canal Insider en el momento de las pruebas. Esto sugiere que Microsoft podría estar probando mitigaciones internas o que la exposición es dependiente de combinaciones concretas de versiones y componentes del sistema.
La gravedad real de una escalada a SYSTEM no puede subestimarse: un atacante local con capacidad de ejecutar código (por ejemplo, a través de phishing que ejecute binarios o ficheros adjuntos, o mediante otro bug de ejecución local) podría usar MiniPlasma para tomar control total del sistema, instalar backdoors persistentes, desactivar detección y exfiltrar datos. En entornos empresariales, esto facilita movimientos laterales y elevaciones a dominios con consecuencias críticas.
Además del impacto técnico, la forma de la divulgación plantea un debate ético. El autor ha dicho que publica exploits como protesta por su experiencia con el programa de recompensas y el manejo de vulnerabilidades por parte del proveedor, y en las semanas previas ya divulgó otras PoC (BlueHammer, RedSun, YellowKey, GreenPlasma). Publicar código funcional presiona a los proveedores pero también acelera la ventana de exposición para organizaciones que aún no han aplicado mitigaciones.
Para administradores y equipos de seguridad la prioridad inmediata debe ser reducir la superficie de riesgo y elevar la capacidad de detección. Recomendaciones prácticas incluyen desplegar y asegurar una solución EDR/AV moderna con telemetría de comportamiento, activar y afinar reglas de Sysmon para registrar cambios en el registro y creación de claves en HKEY_USERS\\.DEFAULT, y buscar indicios de procesos que intenten manipular el driver cldflt.sys o realizar llamadas inusuales relacionadas con la hidratación de archivos en la nube. Las búsquedas de IOC deben centrarse en binarios procedentes de repositorios públicos que coincidan con la PoC y en shells elevados que aparezcan en cuentas de usuario estándar.
En cuanto a mitigaciones técnicas provisionales, las opciones que implican deshabilitar drivers o funciones del sistema deben probarse primero en un laboratorio, porque pueden romper funcionalidades legítimas como OneDrive Files On-Demand. Es preferible aplicar controles compensatorios: reducir la cantidad de cuentas con privilegios locales, endurecer políticas de ejecución (AppLocker o Windows Defender Application Control), restringir la capacidad de los usuarios de instalar software y usar políticas de bloqueo para artefactos descargados desde Internet. Mantenga un inventario de endpoints y priorice la atención sobre máquinas con acceso a datos sensibles o servicios críticos.
Si su organización detecta una explotación potencial, aísle el equipo afectado, preserve los logs relevantes (Sysmon, EDR, Windows Event Logs) y proceda con un análisis forense. Notifique a los responsables de seguridad y, si procede, informe del incidente a Microsoft y a los equipos de respuesta a incidentes que utilice su empresa. Para seguimiento técnico y contexto histórico puede consultar tanto el reporte original de Project Zero como la ficha del CVE: informe de Project Zero y la entrada oficial de Microsoft en su guía de actualizaciones CVE-2020-17103.
También resulta útil revisar la publicación del propio autor y el repositorio donde subió la PoC para comprender el riesgo operativo y decidir medidas puntuales de bloqueo de indicadores, por ejemplo bloqueando descargas desde esa URL en proxies y sistemas de filtrado: perfil de GitHub de Nightmare-Eclipse. No ejecute la PoC en redes productivas sin un entorno controlado: hacerlo puede causar daños o abrir responsabilidad legal.
En resumen, MiniPlasma recuerda que la existencia de un parche declarado no siempre equivale a una eliminación completa del riesgo. Las organizaciones deben combinar parches, defensa en profundidad, visibilidad sobre cambios en el sistema y procedimientos de respuesta rápidos. La prioridad ahora es detectar posibles explotaciones, mitigar el impacto en los activos críticos y vigilar las comunicaciones oficiales de Microsoft para aplicar correcciones definitivas tan pronto como se publiquen.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...