MiniPlasma: el zero-day de Windows que volvió en 2026
Un investigador de seguridad publicó el 17 de mayo de 2026 un exploit funcional para una vulnerabilidad de escalada de privilegios en Windows, apodado exploit MiniPlasma Windows, que permite a cualquier usuario estándar obtener acceso SYSTEM en sistemas completamente parcheados, incluyendo Windows 11 con el último Patch Tuesday de mayo 2026.
En 30 segundos
- El investigador conocido como Chaotic Eclipse publicó el código fuente y el ejecutable compilado de MiniPlasma en GitHub el 17 de mayo de 2026.
- La vulnerabilidad afecta al driver
cldflt.sys(Cloud Filter) de Windows y la funciónHsmOsBlockPlaceholderAccess, originalmente reportada por Google Project Zero en septiembre de 2020 como CVE-2020-17103. - Microsoft supuestamente la parcheó en diciembre de 2020, pero el PoC original de Google sigue funcionando sin modificaciones en Windows 11 parcheado al día.
- BleepingComputer confirmó el exploit: desde una cuenta estándar, abre una CMD con privilegios SYSTEM.
- No hay parche disponible de Microsoft al momento de publicación. La mitigación más directa es deshabilitar Cloud Filter si no lo usás.
Qué es MiniPlasma: el exploit de Windows que volvió de entre los muertos
MiniPlasma es un exploit de escalada de privilegios local (LPE) para Windows que permite a un usuario sin privilegios especiales obtener acceso SYSTEM, el nivel más alto del sistema operativo. Lo publicó un investigador conocido como Chaotic Eclipse (también llamado Nightmare Eclipse) el 17 de mayo de 2026, junto con el código fuente completo y un ejecutable listo para usar en GitHub.
Lo que lo hace especialmente irritante: no es una vulnerabilidad nueva. Es la misma falla que James Forshaw de Google Project Zero reportó a Microsoft en septiembre de 2020, que recibió el identificador CVE-2020-17103, y que Microsoft dijo haber parcheado en diciembre de ese mismo año. Cinco años y medio después, el PoC original sigue funcionando sin una sola modificación.
Cómo funciona: la trampa en el Cloud Filter driver
Ponele que sos un usuario estándar en una PC corporativa con Windows 11 y sin acceso de administrador. Descargás el ejecutable de MiniPlasma, lo corrés, y en segundos tenés una terminal con privilegios SYSTEM. Así de simple y así de grave.
La vulnerabilidad vive en cldflt.sys, el Windows Cloud Files Mini Filter Driver, que gestiona los archivos en la nube como los de OneDrive. Específicamente en la función HsmOsBlockPlaceholderAccess y en el abuso del API CfAbortHydration. El problema es que este driver no valida correctamente quién puede ejecutar ciertas operaciones, lo que permite desde una cuenta sin privilegios crear claves de registro arbitrarias en el hive HKEY_USERS\.DEFAULT y, desde ahí, escalar a SYSTEM.
BleepingComputer lo testeó en un Windows 11 Pro con los últimos parches de mayo 2026. Cuenta estándar, sin modificaciones, sin bypass de UAC complejo. Una CMD con SYSTEM. Confirmado. Sobre eso hablamos en plataformas de CI/CD más seguras.
Por qué Windows sigue siendo vulnerable después de seis años
Acá viene la pregunta obvia: ¿cómo es posible que una vulnerabilidad “parcheada” en 2020 siga activa en 2026?
El propio Chaotic Eclipse dice que no sabe si Microsoft nunca la parcheó realmente o si el parche fue revertido en algún punto sin documentación pública. Lo que sí confirma es que el PoC original de Forshaw, publicado por Google Project Zero después de los 90 días de divulgación responsable, funciona tal cual, sin tocar una línea.
Hay dos posibilidades que manejan quienes siguieron el caso: o el parche de diciembre 2020 nunca llegó realmente al componente correcto, o una actualización posterior de Windows, probablemente relacionada con mejoras en la integración con OneDrive o Cloud Files, revirtió la corrección sin que nadie lo notara. Cualquiera de las dos es un problema serio de proceso interno en Microsoft.
¿Alguien en la comunidad de seguridad lo había detectado antes? Todavía no hay confirmación de explotación activa en la naturaleza, pero con el PoC publicado y disponible para cualquiera, ese panorama puede cambiar rápido.
Impacto en sistemas actuales: qué podés perder
Acceso SYSTEM no es solo “ser admin”. Es estar por encima del administrador. Con ese nivel de acceso, un atacante puede:
- Instalar malware persistente que sobrevive reinicios y escaneos de antivirus
- Deshabilitar el propio Windows Defender desde adentro
- Crear cuentas ocultas de administrador
- Volcar credenciales del sistema (LSASS dump) para moverse lateralmente en la red
- Cifrar archivos del sistema para ransomware sin que UAC pueda intervenir
El vector de ataque requiere acceso local, así que no es explotable de forma remota directamente. Eso sí: en entornos corporativos donde un empleado malicioso, un contratista con acceso físico, o malware que ya entró por otro vector (phishing, por ejemplo) puede correr código en la máquina, MiniPlasma convierte un compromiso parcial en control total. Como cubrimos en detalle en ejecutar herramientas sin exponerse, estas capacidades son críticas en una cadena de ataque.
Los sistemas de cloud storage basados en Windows Cloud Files, que incluyen la integración de OneDrive presente por defecto en Windows 11, tienen activo el driver vulnerable.
Estado actual: qué sabemos y qué no
| Aspecto | Estado |
|---|---|
| Vulnerabilidad confirmada en Windows 11 parcheado | Confirmado (BleepingComputer, mayo 2026) |
| CVE asignado originalmente | CVE-2020-17103 |
| Parche de Microsoft disponible | No (al 17 de mayo 2026) |
| Explotación activa en la naturaleza | No confirmada públicamente |
| Requiere acceso remoto | No, solo acceso local |
| Código fuente disponible públicamente | Sí, en GitHub |
| Respuesta oficial de Microsoft | Pendiente al momento de publicación |
Cómo protegerse del exploit MiniPlasma mientras esperás el parche
Microsoft no publicó un parche de emergencia al momento de publicarse este artículo. Mientras tanto, hay algunas cosas concretas que podés hacer:
- Deshabilitar Cloud Filter si no lo usás: Si tu entorno no usa OneDrive ni servicios basados en Windows Cloud Files, podés deshabilitar el driver
cldflt.sysvía política de grupo o registro. Ojo: hacé esto solo si entendés el impacto, porque puede romper la sincronización de archivos en la nube. - Monitorear el hive HKEY_USERS\.DEFAULT: Configurá alertas en tu SIEM o herramienta de EDR para detectar escrituras inusuales en ese hive de registro, particularmente desde procesos sin privilegios de administrador.
- Auditar quién puede correr ejecutables: AppLocker o Windows Defender Application Control (WDAC) pueden limitar qué binarios corren en equipos críticos.
- Aplicar principio de mínimo privilegio: Si los usuarios de tu organización están usando cuentas de administrador por costumbre, este es el momento de cambiar eso.
- Mantener EDR actualizado: Las firmas del exploit publicado ya están siendo detectadas por varias soluciones. Verificá que tu herramienta tenga las definiciones más recientes.
Dicho esto, la única solución real es el parche de Microsoft. Hay que esperar y estar atentos a un Patch Tuesday fuera de ciclo o una actualización de seguridad urgente.
Contexto: Chaotic Eclipse y el patrón de divulgación
MiniPlasma no es el único zero-day que liberó Chaotic Eclipse en mayo de 2026. Según reportes de CyberSecurityNews, el investigador publicó simultáneamente otro exploit apodado YellowKey, relacionado con bypass de BitLocker en condiciones específicas.
El patrón es el de un investigador frustrado con el proceso de respuesta de Microsoft. Publicar PoC funcionales sin coordinar un parche previo es una decisión controversial en la comunidad: acelera la presión sobre el fabricante pero también le da munición a atacantes antes de que haya una corrección disponible. Es un debate viejo y sin resolución fácil (la divulgación responsable tiene límites cuando el vendor ignora reportes, y en este caso el antecedente del CVE-2020-17103 “parcheado” habla por sí solo). Cubrimos ese tema en detalle en seguridad en plataformas de desarrollo.
Lo que sí queda claro es que el área de Cloud Files en Windows tiene deuda técnica de seguridad que Microsoft no está priorizando.
Errores comunes al evaluar este tipo de amenaza
Pensar que “requiere acceso local” significa que es poco grave
Es el error más frecuente. En la cadena de ataque real, el acceso local suele llegar por phishing, un USB en el escritorio, o un contratista con acceso físico. Una vez que hay ejecución de código con usuario estándar, MiniPlasma convierte eso en SYSTEM. El requisito de “acceso local” no es una mitigación, es simplemente el primer eslabón.
Creer que tener Windows actualizado alcanza
BleepingComputer confirmó el exploit en Windows 11 Pro con el último Patch Tuesday de mayo 2026 aplicado. Estar parcheado no ayuda acá. La vulnerabilidad existe en el componente Cloud Filter que no recibió corrección, a pesar de que el CVE figura como cerrado desde 2020.
Desactivar OneDrive y pensar que el problema está resuelto
El driver cldflt.sys puede estar activo aunque no uses OneDrive, porque Windows lo carga para el subsistema de Cloud Files en general. Desinstalar la app de OneDrive no garantiza que el driver esté deshabilitado. Hay que verificar el estado del servicio directamente.
Preguntas Frecuentes
¿Qué es el exploit MiniPlasma de Windows?
MiniPlasma es un exploit de escalada de privilegios local para Windows, publicado el 17 de mayo de 2026 por el investigador Chaotic Eclipse. Permite a un usuario estándar obtener acceso SYSTEM, el nivel más alto del sistema operativo, en equipos completamente parcheados. Explota una vulnerabilidad en el driver Cloud Filter (cldflt.sys) que ya había sido reportada en 2020 como CVE-2020-17103 y supuestamente corregida. Complementá con el ecosistema de Microsoft y GitHub.
¿Cómo afecta MiniPlasma a Windows 11 parcheado?
Afecta a Windows 11 incluso con todos los parches de mayo 2026 aplicados. BleepingComputer lo verificó en un sistema Windows 11 Pro con el Patch Tuesday más reciente: desde una cuenta estándar, el exploit abre una terminal con privilegios SYSTEM sin requerir acceso de administrador ni bypass adicional. La razón es que el componente vulnerable (cldflt.sys) nunca recibió la corrección real.
¿Cómo protegerme del exploit MiniPlasma sin esperar el parche?
Las medidas más efectivas son: deshabilitar el driver cldflt.sys si no usás servicios de Cloud Files, configurar alertas de monitoreo en HKEY_USERS\.DEFAULT para detectar escrituras anómalas, y usar herramientas de control de aplicaciones (AppLocker o WDAC) para limitar qué ejecutables corren en equipos críticos. Aplicar el principio de mínimo privilegio también reduce el impacto de cualquier exploit de este tipo.
¿Qué es CVE-2020-17103 y qué tiene que ver con MiniPlasma?
CVE-2020-17103 es el identificador de la vulnerabilidad original en el Windows Cloud Files Mini Filter Driver, reportada por James Forshaw de Google Project Zero en septiembre de 2020. Microsoft la declaró corregida en diciembre de 2020. MiniPlasma demuestra que esa corrección nunca fue efectiva o fue revertida: el PoC original de Forshaw sigue funcionando en 2026 sin modificaciones.
¿Por qué Microsoft no parcheó MiniPlasma correctamente?
No hay una respuesta oficial de Microsoft al respecto todavía. El investigador Chaotic Eclipse señala que no sabe si el parche original nunca fue aplicado al componente correcto o si fue revertido en una actualización posterior. Cualquiera de las dos opciones implica un fallo en los procesos de validación de parches. Microsoft no publicó declaración pública sobre MiniPlasma al momento de publicación de este artículo.
Conclusión
El exploit MiniPlasma Windows no es solo otro zero-day: es la confirmación de que una vulnerabilidad “cerrada” desde 2020 nunca lo estuvo realmente. Que funcione en Windows 11 con todos los parches de mayo 2026 aplicados es lo suficientemente grave como para tomarlo en serio ahora, no cuando llegue el parche.
Si administrás sistemas Windows en una organización, las prioridades inmediatas son claras: verificar el estado del driver cldflt.sys, levantar alertas de monitoreo en el registro, y revisar si tus usuarios están usando cuentas con más privilegios de los necesarios. Mientras tanto, hay que estar atentos a un parche de emergencia de Microsoft, que debería llegar pronto dado el nivel de exposición pública del PoC.
Y si sos el tipo de persona que dejó el tema de los privilegios de usuario “para después”, este es el recordatorio que necesitabas.
Fuentes
- BleepingComputer — New Windows MiniPlasma zero-day exploit gives SYSTEM access, PoC released
- CyberSecurityNews — Windows MiniPlasma Zero-Day análisis técnico
- The Hacker News — MiniPlasma Windows 0-day enables System access
- CSO Online — Patched Windows bug resurfaces 6 years later as working SYSTEM-level exploit
- iSec News — Windows MiniPlasma zero-day PoC análisis
