){kind=small}
)
O pesquisador conhecido como Chaotic Eclipse divulgou um novo exploit chamado MiniPlasma, que permite obter privilégios de SYSTEM em versões totalmente atualizadas do Windows 11. A falha afeta o driver “cldflt.sys”, ligado ao recurso de arquivos em nuvem do sistema operacional. O caso veio à tona em maio de 2026 e faz parte de uma série de polêmicas envolvendo a plataforma da Microsoft.
O problema é especialmente preocupante porque a vulnerabilidade já havia sido reportada em 2020 pelo pesquisador James Forshaw, do Google Project Zero. Na época, a Microsoft classificou o caso como corrigido na falha CVE-2020-17103. Agora, porém, pesquisadores afirmam que o mesmo erro continua funcionando em máquinas com todos os patches instalados.
Nossos vídeos em destaque
MiniPlasma garante acesso total mesmo em sistemas atualizados
Segundo Chaotic Eclipse, a vulnerabilidade está presente na rotina “HsmOsBlockPlaceholderAccess”, dentro do driver responsável por lidar com arquivos sincronizados na nuvem. Após revisar pesquisas anteriores sobre outra falha chamada GreenPlasma, o pesquisador percebeu que o comportamento vulnerável ainda existia no sistema.
Na prática, o MiniPlasma permite que um invasor local consiga privilégios de SYSTEM, o nível mais alto de acesso dentro do Windows. Com esse controle, um atacante pode executar comandos, instalar programas maliciosos, alterar configurações de segurança e assumir praticamente toda a máquina.
)
Chaotic Eclipse transformou a vulnerabilidade em um exploit funcional capaz de abrir um prompt de comando com privilégios de SYSTEM. O pesquisador afirma que o ataque funcionou de forma consistente em seus testes, embora a taxa de sucesso possa variar porque a exploração depende de uma condição de corrida, conhecida como “race condition”.
Pesquisadores questionam eficácia dos patches da Microsoft
O pesquisador Will Dormann confirmou os resultados de forma independente. Segundo ele, o MiniPlasma funciona em versões atualizadas do Windows 11, incluindo builds recentes com os patches de maio de 2026. Dormann observou apenas que o exploit aparentemente não funciona na versão Insider Preview Canary, o que pode indicar que a Microsoft já esteja trabalhando em uma correção futura.
)
O caso gera preocupação porque milhões de usuários e empresas acreditam que manter o Windows atualizado é suficiente para eliminar falhas conhecidas. A possibilidade de uma vulnerabilidade corrigida em 2020 continuar ativa em 2026 coloca em dúvida a consistência do processo de patch management da Microsoft. Mas o MiniPlasma é apenas parte de um problema maior.
Série de vulnerabilidades amplia preocupação com segurança do Windows
Nas últimas semanas, Chaotic Eclipse publicou códigos de exploração para várias vulnerabilidades diferentes no Windows. Entre elas estão BlueHammer, RedSun e UnDefend, falhas ligadas ao Microsoft Defender. BlueHammer permitia escalonamento de privilégios locais. RedSun explorava outra brecha semelhante. Já UnDefend causava negação de serviço e bloqueava atualizações das definições de segurança do antivírus.
A Microsoft corrigiu apenas o BlueHammer, identificado como CVE-2026-33825. As outras falhas continuaram sem patch durante algum tempo. Pesquisadores da Huntress afirmaram que criminosos começaram a explorar os códigos poucos dias após a divulgação pública. Depois vieram YellowKey e GreenPlasma.
)
O YellowKey é um bypass do BitLocker que afeta Windows 11 e Windows Server 2022 e 2025. A vulnerabilidade permite contornar a criptografia do disco por meio do ambiente de recuperação do Windows, conhecido como WinRE.
O ataque funciona com arquivos preparados em um pendrive ou na partição EFI do sistema. Segundo Chaotic Eclipse, o componente vulnerável existe apenas dentro da imagem do WinRE e não aparece da mesma forma em instalações normais do Windows 10.
Já o GreenPlasma explora o subsistema CTFMON, ligado ao Windows Collaborative Translation Framework. A falha permite escalonamento de privilégios por meio da criação de objetos de memória em diretórios acessíveis pelo SYSTEM.
)
Especialistas alertam para risco de ataques após divulgação de exploits
Defensores da divulgação pública argumentam que empresas muitas vezes só aceleram correções quando existe pressão externa. O caso BlueHammer reforçou essa visão, já que a Microsoft liberou patches rapidamente após a exposição pública do exploit.
Por outro lado, especialistas alertam que criminosos também se beneficiam dessas divulgações. Pesquisadores da Huntress afirmam que grupos maliciosos passaram a usar os códigos publicados em poucos dias. Isso reduz o tempo de reação das empresas de defesa.
Tradicionalmente, a indústria segue o modelo de divulgação responsável. Nele, o pesquisador informa a falha de forma privada, o fabricante cria uma correção e só depois os detalhes técnicos são divulgados.
)
Chaotic Eclipse segue uma abordagem diferente. O pesquisador publica rapidamente provas de conceito e códigos funcionais. Isso aumenta a pressão sobre a Microsoft, mas também amplia o risco de ataques antes da chegada de patches.
No caso do MiniPlasma, porém, o ponto mais grave é a possibilidade de uma vulnerabilidade antiga ter permanecido ativa durante anos em sistemas considerados seguros.
Para empresas, isso representa um problema importante. O modelo moderno de segurança depende fortemente de atualizações constantes. Se correções antigas puderem desaparecer por regressões ou mudanças internas no código, então instalar patches talvez não seja suficiente para garantir proteção.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
