Un exploit de MiniPlasma permite obtener acceso SYSTEM en Windows 11 totalmente parcheado, incluso en equipos con la actualización de Patch Tuesday de mayo de 2026 instalada. La prueba de concepto ya circula con código fuente y un binario compilado en GitHub.
La comprobación no se queda en teoría: BleepingComputer lo verificó en una cuenta de usuario estándar y abrió una consola SYSTEM en una instalación limpia de Windows 11 Pro. Will Dormann, investigador de Tharros, confirmó también el resultado de forma independiente.
El fallo sigue vivo en cldflt.sys pese al parche de 2020
La vulnerabilidad está en el controlador de Windows Cloud Filter, cldflt.sys, dentro de la rutina HsmOsBlockPlaceholderAccess. No es un problema nuevo. James Forshaw, de Google Project Zero, lo reportó a Microsoft en septiembre de 2020 y recibió el identificador CVE-2020-17103, con un parche supuestamente aplicado en diciembre de ese año.
Chaotic Eclipse, el investigador que ha publicado MiniPlasma, afirma haber ejecutado el proof of concept original de Forshaw sin tocar una sola línea y que seguía funcionando. En su divulgación plantea dos opciones: que Microsoft nunca corrigiera el problema del todo o que el parche se revirtiera más tarde por motivos no aclarados.
El mecanismo pasa por el tratamiento de la creación de claves de registro mediante una API no documentada. Eso permite a un usuario estándar crear claves arbitrarias en el hive .DEFAULT sin los controles de acceso que deberían bloquear esa operación. Hay también una condición de carrera. El éxito no es perfecto, pero la verificación publicada apunta a un comportamiento estable en hardware real.
MiniPlasma se suma a una cadena de fallos publicados por el mismo autor
MiniPlasma es la última pieza de una secuencia de divulgaciones del mismo investigador en las últimas seis semanas. Primero llegó BlueHammer, una escalada local de privilegios en Microsoft Defender que Microsoft parcheó el 14 de abril como CVE-2026-33825, apenas días después de su publicación. Después apareció RedSun, otro fallo de escalada en Defender que, según la fuente, se corrigió sin CVE. Luego vinieron UnDefend, una herramienta de denegación de servicio contra Defender, YellowKey, un bypass de BitLocker, y GreenPlasma, un exploit de escalada para CTFMON del que se retuvo parte del código.
En ese contexto, MiniPlasma amplía una serie que ya ha terminado en ataques reales. Los tres exploits originales —BlueHammer, RedSun y UnDefend— fueron confirmados como utilizados en ataques por investigadores de Huntress poco después de su publicación. La intención del autor es explícita: protesta por la forma en que Microsoft gestiona los informes de bug bounty y la verificación de parches.
Microsoft no se ha pronunciado sobre MiniPlasma. La compañía ya había dicho antes a BleepingComputer que apoya la divulgación coordinada de vulnerabilidades como práctica estándar del sector. Mientras tanto, el caso vuelve a poner el foco en Windows 11: un sistema que puede estar al día en parches y, aun así, quedar expuesto a una escalada hasta SYSTEM a través de un componente que supuestamente se corrigió hace años. Para el usuario final, el dato relevante es ese: la versión más reciente no ha impedido la explotación confirmada.
Qué significa para Windows 11 este nuevo SYSTEM access
La parte crítica no es solo la existencia del fallo, sino su alcance. Obtener SYSTEM en Windows 11 da control máximo sobre el sistema, y aquí el exploit parte de una cuenta estándar. La fuente indica además que el problema no afecta al último Windows 11 Insider Preview Canary, lo que sugiere diferencias de comportamiento entre ramas del sistema.
Por ahora, la información disponible deja tres puntos claros: el exploit funciona, el parche antiguo no ha cerrado el agujero de forma efectiva y la publicación incluye tanto el código como el ejecutable. Ese conjunto convierte a MiniPlasma en una amenaza especialmente sensible para administradores y equipos de seguridad que den por cerrada la familia CVE-2020-17103.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
Permite elevar privilegios desde una cuenta de usuario estándar hasta SYSTEM. BleepingComputer comprobó que funciona en una instalación limpia de Windows 11 Pro.
La vulnerabilidad está en el controlador Cloud Filter, cldflt.sys, dentro de la rutina HsmOsBlockPlaceholderAccess. Según la fuente, afecta al tratamiento de creación de claves de registro mediante una API no documentada.
Forshaw reportó el problema en septiembre de 2020 y se asignó CVE-2020-17103. La noticia indica que MiniPlasma sigue funcionando incluso en equipos totalmente actualizados, lo que apunta a que el arreglo no cerró el problema de forma efectiva.
La fuente dice que no funciona en la última compilación Windows 11 Insider Preview Canary. No ofrece más detalles sobre por qué esa rama se comporta distinto.
