El investigador de seguridad bajo el seudónimo Chaotic Eclipse ha publicado el exploit funcional MiniPlasma, que permite obtener privilegios de nivel SYSTEM en sistemas Windows completamente actualizados. La vulnerabilidad afecta al controlador cldflt.sys (Windows Cloud Files Mini Filter Driver) y, según el investigador, se trata del mismo problema que Google Project Zero descubrió en 2020 y que, supuestamente, nunca se solucionó de forma completa. El código PoC público está disponible en GitHub, lo que convierte la amenaza en un asunto urgente para todos los administradores de infraestructuras Windows.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad está localizada en la rutina HsmOsBlockPlaceholderAccess dentro del controlador cldflt.sys, el mini-filtro responsable del manejo de archivos en la nube en Windows. Por su naturaleza se trata de una condición de carrera (race condition), lo que implica que la probabilidad de explotación exitosa varía en función de la configuración y la carga del sistema objetivo.

La cronología del problema merece especial atención:

• En septiembre de 2020, el investigador de Google Project Zero James Forshaw comunicó el problema a Microsoft.
• En diciembre de 2020, Microsoft publicó una corrección en el marco de CVE-2020-17103.
• Según afirma Chaotic Eclipse, el PoC original de Google Project Zero funciona en sistemas actuales sin ningún tipo de modificación, lo que pone en duda la eficacia del parche publicado.

El investigador señala que no está claro si el parche era inicialmente incompleto o se revirtió en algún momento. Para demostrar el problema, modificó el PoC original de forma que el exploit generara una consola de comandos con privilegios SYSTEM.

Validación independiente

Una importante confirmación de la efectividad del exploit ha sido la verificación independiente realizada por el conocido investigador de seguridad Will Dormann. Según su mensaje en Mastodon, MiniPlasma abre de forma «fiable» cmd.exe con privilegios SYSTEM en sistemas Windows 11 con las actualizaciones de mayo de 2026 instaladas. Al mismo tiempo, Dormann indicó que el exploit no funciona en la última compilación de Windows 11 Insider Preview Canary, lo que podría indicar la presencia de una corrección en las versiones preliminares.

Este hecho confirma indirectamente que Microsoft podría estar al tanto del problema y trabajando en una solución, aunque en el momento de la publicación no existe una confirmación oficial por parte de la compañía.

Vulnerabilidades relacionadas en el mismo componente

Cabe señalar que en diciembre de 2025 Microsoft ya había corregido otra vulnerabilidad de elevación de privilegios en cldflt.sys — CVE-2025-62221 (CVSS 7.8), que, según los datos disponibles, fue explotada por atacantes no identificados. La existencia de varias vulnerabilidades en el mismo controlador apunta a problemas sistémicos de seguridad en este componente.

Evaluación del impacto

La elevación local de privilegios a SYSTEM es una de las clases de vulnerabilidades más críticas para los entornos corporativos. Una vez obtenido acceso SYSTEM, un atacante puede:

• Desactivar mecanismos de protección, incluido software antivirus y soluciones EDR
• Extraer credenciales de la memoria de los procesos
• Instalar puertas traseras persistentes
• Realizar movimientos laterales a través de la red de la organización

Aunque la explotación requiere acceso local al sistema, en la práctica esta limitación suele ser fácil de superar: los atacantes suelen obtener acceso inicial mediante phishing o explotación de servicios web, y luego utilizan vulnerabilidades de elevación de privilegios para consolidar su posición. La disponibilidad pública del PoC reduce considerablemente la barrera de entrada.

Recomendaciones de protección

Hasta la publicación de una corrección oficial por parte de Microsoft, se recomienda tomar las siguientes medidas:

• Supervisión de la actividad de cldflt.sys: configure reglas de detección en su SIEM/EDR para monitorizar actividad anómala relacionada con el controlador Cloud Files Mini Filter. Preste atención a la creación atípica de procesos cmd.exe o powershell.exe con privilegios SYSTEM.
• Evaluación de la necesidad del componente: si la funcionalidad de archivos en la nube de Windows (OneDrive, Windows Cloud Files) no se utiliza en la infraestructura, considere la posibilidad de desactivar o limitar la carga del controlador cldflt.sys mediante directivas de grupo.
• Refuerzo del control de acceso: minimice el número de usuarios con acceso local a servidores y estaciones de trabajo. La vulnerabilidad requiere ejecución local de código, por lo que limitar el acceso inicial es una barrera de protección clave.
• Seguimiento de actualizaciones: supervise la publicación de parches de Microsoft relacionados con cldflt.sys y CVE-2020-17103. El hecho de que el exploit no funcione en las compilaciones Canary puede ser indicio de la inminente aparición de una corrección en las versiones estables.

Teniendo en cuenta la disponibilidad pública de un exploit funcional y la confirmación independiente de su eficacia en sistemas Windows 11 actuales, la prioridad de respuesta es alta. Las organizaciones deben evaluar de inmediato el uso del componente Cloud Files Mini Filter en su infraestructura e implementar medidas compensatorias de detección hasta la publicación del parche oficial de Microsoft.