Um pesquisador que se chama Chaotic Eclipse (também conhecido como Nightmare Eclipse) publicou no GitHub um exploit de teste de conceito chamado MiniPlasma que, segundo os seus testes e as de terceiros, permite escalar privilégios para SYSTEM em instalações do Windows que, na aparência, estão completamente adesivos.
A vulnerabilidade afeta o driver Cloud Filter do Windows, identificado como cldflt.sys, e explora uma rotina ligada ao processo de "hidratação" de arquivos na nuvem através de uma API não documentada (CfAbortHydration). A técnica permite criar entradas arbitrárias na colmeia de registro .DEFAULT sem as verificações de acesso corretas, o que pode servir como vetor para elevar privilégios de uma conta de usuário padrão para SYSTEM.
Este erro foi originalmente relatado por James Forshaw do Google Project Zero em 2020 e atribuído como CVE-2020-17103, com um adesivo publicado pela Microsoft em dezembro desse ano. O ponto central da publicação de MiniPlasma é que, segundo Chaotic Eclipse, o problema persiste apesar daquele adesivo - ou a correção nunca chegou corretamente a todas as versões ou foi revertida -, e a PoC original de 2020 funcionou sem mudanças sobre sistemas atuais.
Testes independentes realizados por pesquisadores de mídia e equipamentos de resposta confirmam que o MiniPlasma funciona em versões públicas recentes do Windows 11 (incluindo edições com adesivos de maio de 2026), embora não na última build Canary do canal Insider no momento dos testes. Isso sugere que a Microsoft poderia estar testando mitigações internas ou que a exposição é dependente de combinações concretas de versões e componentes do sistema.
A gravidade real de uma escalada para SYSTEM não pode ser subestimada: um atacante local com capacidade de executar código (por exemplo, através de phishing que execute binários ou arquivos anexos, ou por outro bug de execução local) poderia usar o MiniPlasma para controlar todo o sistema, instalar backdoors persistentes, desativar detecção e exfiltrar dados. Em ambientes empresariais, isto facilita movimentos laterais e elevações a domínios com consequências críticas.
Além do impacto técnico, a forma da divulgação representa um debate ético. O autor disse que publica exploits como protesto pela sua experiência com o programa de recompensas e o manejo de vulnerabilidades por parte do provedor, e nas semanas anteriores já divulgou outras PoC (BlueHammer, RedSun, YellowKey, GreenPlasma). Publicar código funcional pressiona os fornecedores, mas também acelera a janela de exposição para organizações que ainda não aplicaram mitigações.
Para administradores e equipamentos de segurança a prioridade imediata deve ser reduzir a superfície de risco e aumentar a capacidade de detecção. Recomendações práticas incluem a implantação e a garantia de uma solução moderna EDR/AV com telemetria de comportamento, activar e afinar as regras de Sysmon para registar alterações no registo e criação de chaves em HKEY_USERS\\.DEFAULT, e procurar indícios de processos que tentem manipular o driver cldflt.sys ou fazer chamadas invulgares relacionadas com a hidratação de arquivos na nuvem. As buscas de IOC devem centrar-se em binários provenientes de repositórios públicos correspondentes à PoC e em shells elevados que aparecem em contas de usuário padrão.
Quanto a mitigações técnicas provisórias, as opções que envolvem desativar drivers ou funções do sistema devem ser testadas primeiro em um laboratório, porque podem romper funcionalidades legítimas como o OneDrive Files On-Demand. É preferível aplicar controlos compensatórios: reduzir a quantidade de contas com privilégios locais, endurecer políticas de execução (AppLocker ou Windows Defender Application Control), restringir a capacidade dos usuários de instalar software e usar políticas de bloqueio para artefatos baixados da Internet. Mantenha um inventário de endpoints e priorize a atenção sobre máquinas com acesso a dados sensíveis ou serviços críticos.
Se a sua organização detectar uma exploração potencial, isole o equipamento afetado, preserve os logs relevantes (Sysmon, EDR, Windows Event Logs) e proceda com uma análise forense. Notifique os responsáveis pela segurança e, se for caso disso, informe o incidente à Microsoft e os equipamentos de resposta a incidentes que utilize a sua empresa. Para seguimento técnico e contexto histórico, você pode consultar tanto o relatório original do Project Zero quanto a ficha do CVE: Relatório do Projeto Zero e a entrada oficial da Microsoft no seu guia de atualizações CVE-2020-17103.
Também é útil rever a publicação do próprio autor e o repositório onde subiu a PoC para compreender o risco operacional e decidir medidas pontuais de bloqueio de indicadores, por exemplo, bloqueando descargas a partir desse URL em proxies e sistemas de filtragem: perfil do GitHub de Nightmare-Eclipse. Não execute a PoC em redes produtivas sem um ambiente controlado: isso pode causar danos ou abrir responsabilidade legal.
Em resumo, o MiniPlasma lembra que a existência de um adesivo declarado nem sempre equivale a uma eliminação completa do risco. As organizações devem combinar adesivos, defesa em profundidade, visibilidade sobre mudanças no sistema e procedimentos de resposta rápidos. A prioridade agora é detectar possíveis explorações, mitigar o impacto nos ativos críticos e monitorar as comunicações oficiais da Microsoft para aplicar correções definitivas logo que sejam publicadas.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...