TempMail Ninja
//

Exploit zero-day Windows ‘MiniPlasma’ permite escalación de privilegios

8 min de lectura
TempMail Ninja
Exploit zero-day Windows ‘MiniPlasma’ permite escalación de privilegios

Contenido del artículo

En el volátil ecosistema de la ciberseguridad corporativa, la confianza en los ciclos de actualización mensual de software suele ser la última línea de defensa para los administradores de sistemas. Sin embargo, el reciente lanzamiento de un devastador exploit zero-day Windows ha puesto de manifiesto una verdad sumamente incómoda para el sector: los parches de seguridad no siempre son definitivos. El 18 de mayo de 2026, un investigador independiente que opera bajo el pseudónimo de Chaotic Eclipse (también conocido en comunidades de desarrollo como “Nightmare-Eclipse”) sacudió a la industria al publicar de manera abierta el código de explotación de una vulnerabilidad crítica bautizada como MiniPlasma.

Este vector, liberado junto con una prueba de concepto (PoC) completamente funcional y un archivo ejecutable compilado en GitHub, permite a cualquier atacante con acceso estándar y sin privilegios (low-privileged user) escalar de forma transparente hasta el nivel más alto del sistema operativo: NT AUTHORITY\SYSTEM. Lo alarmante de este escenario es que el ataque ha sido validado con éxito en sistemas Windows 11 y Windows Server que cuentan con todas las actualizaciones instaladas hasta la fecha, incluyendo el parche obligatorio de mayo de 2026.

¿Cómo opera el exploit zero-day Windows conocido como MiniPlasma?

Para comprender la gravedad de MiniPlasma, es necesario desglosar los mecanismos internos del sistema operativo que se ven comprometidos. La vulnerabilidad no reside en una función exótica o de uso poco común, sino en un componente central para la integración con servicios en la nube: el controlador de filtro cldflt.sys (Windows Cloud Files Mini Filter Driver). Específicamente, el fallo se localiza dentro de la rutina HsmOsBlockPlaceholderAccess, la cual gestiona las operaciones de sincronización de archivos en la nube, tales como los archivos de marcador de posición (placeholders) de Microsoft OneDrive.

El núcleo de la vulnerabilidad se reduce a un problema clásico de regresión de código o a un parche defectuoso aplicado en el pasado. MiniPlasma explota exactamente la misma vulnerabilidad que el renombrado investigador de Google Project Zero, James Forshaw, descubrió y reportó a Microsoft en septiembre de 2020 (registrada originalmente bajo el identificador CVE-2020-17103). En teoría, esta vulnerabilidad había sido completamente mitigada mediante una actualización de seguridad distribuida en diciembre de 2020. No obstante, Chaotic Eclipse descubrió que la PoC original de hace seis años funciona a la perfección en las versiones modernas y actualizadas de Windows 11 de mediados de 2026, lo que apunta a que el gigante de Redmond dejó el código desprotegido en compilaciones posteriores o revirtió accidentalmente el parche original.

El vacío técnico: De usuarios estándar a privilegios de SYSTEM

El exploit aprovecha una omisión crítica de control de accesos en la API del controlador de filtro. A nivel técnico, el proceso de explotación se describe mediante las siguientes etapas:

  • Falta de banderas de verificación: Al crear llaves de registro, la rutina HsmOsBlockPlaceholderAccess no especifica la bandera de seguridad OBJ_FORCE_ACCESS_CHECK.
  • Escritura en colmenas protegidas: Esta omisión permite que un proceso de usuario estándar evada las restricciones del sistema operativo y escriba llaves directamente en la colmena de usuarios por defecto (.DEFAULT user hive), un área que normalmente requiere privilegios elevados para su modificación.
  • Condición de carrera (Race Condition): MiniPlasma explota esta debilidad mediante una condición de carrera sumamente precisa, alternando de manera veloz entre tokens de usuario local y tokens anónimos para confundir al subsistema de seguridad y forzar la ejecución de hilos con credenciales elevadas.
  • Spawning del Shell: Una vez superado el control de acceso, el exploit genera una instancia de la consola de comandos (cmd.exe) asociada al token de SYSTEM, otorgando control absoluto sobre la máquina comprometida.

Analistas de ciberseguridad de gran prestigio, como el especialista principal de vulnerabilidades Will Dormann y el equipo editorial de BleepingComputer, confirmaron de manera independiente la viabilidad de MiniPlasma. Las pruebas controladas demostraron que la escalación de privilegios es inmediata y silenciosa. Sin embargo, se ha observado un detalle particular: el exploit actual parece fallar en las compilaciones experimentales de la rama “Canary” de Windows 11 Insider Preview, lo que sugiere que Microsoft podría haber modificado indirectamente este controlador en sus versiones de desarrollo de cara al futuro.

La campaña de venganza de Nightmare-Eclipse

La publicación de MiniPlasma no es un hecho aislado, sino la culminación (o continuación) de una agresiva campaña de divulgación hostil motivada por un resentimiento directo contra Microsoft. Según las declaraciones del propio Nightmare-Eclipse, la multinacional habría violado acuerdos previos durante procesos de divulgación responsable de vulnerabilidades, dejándolo “sin nada” y sin el debido reconocimiento o recompensa. Esto detonó una oleada de filtraciones que se ha extendido por más de seis semanas.

Hasta el momento de la redacción de este informe, el investigador ha liberado de manera pública un total de seis exploits zero-day dirigidos contra componentes estructurales de Windows. A continuación, se detalla la colección de herramientas que mantiene en vilo a los equipos de defensa:

  1. BlueHammer (CVE-2026-33825): Un exploit que aprovecha una condición de carrera de tipo TOCTOU (Time-of-Check to Time-of-Use) dentro del flujo de actualizaciones de firmas de Windows Defender. Al utilizar bloqueos oportunistas (oplocks) y enlaces simbólicos, redirige los procesos de alta prioridad de Defender para extraer la base de datos SAM (Security Account Manager) directamente desde las copias de sombra de volumen (VSS).
  2. RedSun: Un exploit centrado en la escalación local de privilegios que compromete las funciones de bajo nivel del kernel para evadir controles de sandbox de navegadores y aplicaciones.
  3. UnDefend: Diseñado específicamente para deshabilitar o neutralizar las capacidades de monitoreo de agentes de seguridad y del propio Windows Defender mediante la manipulación de llamadas al sistema (syscalls) protegidas.
  4. YellowKey: Una de las revelaciones más impactantes de la campaña. Este exploit permite realizar un bypass completo de la encriptación de disco de BitLocker en despliegues estándar de Windows 11. Colocando una carpeta específica denominada FsTx en un dispositivo USB o partición EFI, y forzando el reinicio del sistema hacia el Entorno de Recuperación de Windows (WinRE), el atacante obtiene un shell con control absoluto sobre el volumen cifrado sin requerir claves de recuperación ni contraseñas.
  5. GreenPlasma: Una vulnerabilidad de escalación local de privilegios que afecta al componente CTFMON de Windows, el cual controla los servicios de entrada de texto. Manipula estructuras de memoria en procesos del sistema de confianza para forzar la ejecución de cargas útiles (payloads) de manera encubierta.
  6. MiniPlasma: El exploit actual que nos ocupa, el cual revive el fallo histórico de los marcadores de posición de archivos en la nube de 2020.

Riesgo operativo para las empresas y tácticas de los atacantes

Es importante señalar que los exploits de escalación de privilegios locales (LPE), como MiniPlasma o GreenPlasma, no suelen utilizarse como el vector de entrada inicial en un ataque cibernético. Un atacante externo no puede ejecutar MiniPlasma de forma remota contra una red si no cuenta con una sesión previa dentro del dispositivo de la víctima.

No obstante, estas herramientas representan el “santo grial” para los operadores de ransomware y los grupos de Amenaza Persistentemente Avanzada (APT). En un escenario típico de intrusión, los atacantes logran el acceso inicial mediante correos de phishing bien dirigidos, credenciales comprometidas compradas en mercados de la Dark Web o vulnerabilidades en servicios perimetrales como VPNs. Una vez dentro de la red corporativa, el atacante se encuentra en el rol de un usuario de dominio ordinario y con restricciones. Aquí es donde entra en juego MiniPlasma: el malware ejecuta el exploit localmente, obtiene privilegios de SYSTEM en segundos, y desde esa posición privilegiada procede a desactivar el software antivirus, desplegar herramientas de persistencia y comenzar el movimiento lateral para comprometer al resto de la infraestructura antes de detonar el cifrado de archivos.

Estrategias de defensa y mitigación en ausencia de parches oficiales

Debido a que Microsoft se ha visto desbordado por el ritmo vertiginoso de las publicaciones de Nightmare-Eclipse y no existe aún una actualización oficial que corrija MiniPlasma, los directores de seguridad de la información (CISO) y los equipos de operaciones de seguridad (SecOps) deben adoptar posturas defensivas proactivas y basadas en el comportamiento.

Para mitigar el impacto potencial de este exploit zero-day Windows, se aconseja implementar las siguientes medidas de control:

  • Monitoreo estricto de procesos hijos: Configurar herramientas de Detección y Respuesta en Endpoint (EDR) para identificar y bloquear la creación de procesos de consola (como cmd.exe o powershell.exe) que tengan como proceso padre a servicios asociados a controladores de filtros de nube o al propio OneDrive, especialmente cuando estos hereden el contexto de seguridad de SYSTEM.
  • Restricciones de escritura en el Registro: Implementar políticas y reglas de reducción de superficie de ataque (ASR) que bloqueen de forma preventiva cualquier modificación no autorizada o sospechosa sobre la colmena de registro HKEY_USERS\.DEFAULT proveniente de procesos de usuario de bajo nivel.
  • Control de acceso a nivel de Endpoint: Limitar estrictamente el uso de privilegios locales y deshabilitar temporalmente los servicios de sincronización en la nube nativos de Windows en aquellos equipos de misión crítica donde el uso de placeholders de OneDrive no sea estrictamente indispensable.
  • Auditoría del Visor de Eventos: Supervisar el Evento ID 4688 (Creación de Procesos) en busca de anomalías donde cuentas de usuario estándar inicien tareas que de manera inmediata muten a privilegios del sistema sin pasar por el flujo estándar de Control de Cuentas de Usuario (UAC).

El pulso técnico y operativo entre la comunidad de desarrollo ofensivo y los ingenieros de Microsoft continuará marcando la agenda de seguridad de 2026. Hasta que se despliegue un parche definitivo que reescriba de manera segura las validaciones de acceso en cldflt.sys, la visibilidad absoluta sobre el comportamiento de los endpoints es la única herramienta confiable para evitar que MiniPlasma se convierta en la llave maestra de los atacantes dentro de la red corporativa.

Etiquetas

ciberseguridadescalada de privilegiosexploit de día ceroSeguridad de Windows
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.

También te puede interesar

Malware ChatGPT: Sitio falso roba datos de usuarios en Windows y Mac

JINX-0164: Nuevo malware para macOS ataca a desarrolladores cripto

Estafas FIFA 2026: El FBI alerta sobre sitios web falsos y phishing