O pesquisador conhecido como Chaotic Eclipse publicou recentemente um proof‐of‐concept (PoC) que aproveita uma vulnerabilidade de escalada de privilégios no Windows, batizada como MiniPlasma, que supostamente permite a um atacante obter privilégios SYSTEM em máquinas aparentemente completamente adesivos. O erro está localizado no controlador de filtro de arquivos na nuvem do Windows, cldflt.sys, em uma rotina denominada HsmOsBlockPlaceholderAccess; segundo o autor, a mesma raiz do problema foi relatada originalmente por James Forshaw do Google Project Zero em 2020.
A história técnica é relevante: em setembro de 2020 Forshaw descreveu um problema que a Microsoft mitigou em dezembro desse ano sob CVE-2020-17103, mas Chaotic Eclipse afirma que a condição original — uma race condition No código do mini-filtro, segue presente na prática e que o PoC original funciona sem mudanças para produzir uma consola com privilégios SYSTEM. A natureza das race conditions faz com que a exploração seja dependente de timmings e do ambiente, mas precisamente por isso podem ser difíceis de corrigir de forma confiável e permanecer latentes após adesivos aparentes; para contexto técnico geral, podem ser consultados trabalhos do Project Zero e avisos da Microsoft sobre vulnerabilidades: Google Project Zero e Microsoft Security Response Center.
As implicações práticas são claras e graves: uma escalada local a SYSTEM Abre a porta para controle total da equipe, persistência, instalação de backdoors e avanço lateral em redes corporativas. Vários pesquisadores externos, incluindo Will Dormann, indicaram que a exploração funciona de forma confiável em sistemas Windows 11 com as atualizações de maio de 2026, embora não em todos os ramos de Insider; isso sugere que o problema não está limitado a uma versão concreta e que seu risco é significativo em ambientes heterogêneos.
Historicamente não é a primeira vez que o componente cldflt.sys figura em avisos de segurança: a Microsoft também tratou em dezembro de 2025 outra vulnerabilidade de escalada no mesmo driver (CVE‐2025‐62221) identificada como explorada no campo. Esse antecedente destaca dois pontos: por um lado, que controladores relacionados à integração de armazenamento na nuvem são objetivos atrativos pela sua posição na pilha do sistema; por outro, que as mitigações podem exigir revisões profundas e testes para evitar regresões ou adesivos incompletos.
O que podem e devem fazer administradores e responsáveis pela segurança agora mesmo? Em primeiro lugar, não assumir que “parcheado” significa ausência de risco: rever avisos oficiais e aplicar todas as atualizações recomendadas pela Microsoft. Complementariamente, convém reforçar controles compensatórios: reduzir privilégios locais ao mínimo necessário, aplicar políticas de bloqueio de execução e whitelisting, configurar regras do EDR e do SIEM para detectar processos inesperados executando-se como NT AUTHORITY\\SYSTEM (por exemplo cmd.exe ou powershell.exe iniciados com esse token), e segmentar estações com acesso a dados críticos para limitar o impacto de uma escalada local. Para a administração centralizada e a pesquisa de CVE podem ser consultadas bases públicas como a NVD: NVD.
Para usuários finais as recomendações são práticas e simples: manter o Windows atualizado, evitar executar código de origem não confiável com privilégios elevados e considerar, quando viável, desativar características de integração de nuvem que não sejam usadas (por exemplo, Files On-Demand do OneDrive) até que haja clareza sobre adesivos definitivos; essas medidas reduzem a superfície de ataque ao componente afetado. Os testes de exploração devem limitar-se a ambientes de laboratório controlados: executar um PoC em produção pode comprometer sistemas e deixar provas difíceis de limpar.
Finalmente, é importante lembrar que a publicação de PoC públicos acelera a necessidade de respostas coordenadas: as equipes de resposta a incidentes devem priorizar a detecção de escaladas locais, revisar telemetria histórica em busca de execuções suspeitas como SYSTEM shells e preparar planos de contenção. Manter a comunicação com fornecedores, seguir o canal oficial da Microsoft para atualizações e validar adesivos em ambientes de teste antes de os colocar em massa são práticas que hoje resultam mais críticas do que nunca.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...