Um novo zero-day no Microsoft Windows está chamando atenção da comunidade de segurança após a divulgação de um proof-of-concept (PoC) funcional capaz de conceder privilégios SYSTEM mesmo em máquinas totalmente atualizadas. A falha, apelidada de MiniPlasma, foi divulgada pelo pesquisador conhecido como Chaotic Eclipse, o mesmo responsável pelas recentes vulnerabilidades YellowKey e GreenPlasma.

Segundo o pesquisador, o problema afeta o driver “cldflt.sys”, componente ligado ao Windows Cloud Files Mini Filter Driver. A vulnerabilidade está localizada em uma rotina chamada “HsmOsBlockPlaceholderAccess” e teria sido originalmente reportada à Microsoft em setembro de 2020 pelo pesquisador James Forshaw, do Google Project Zero.

Na época, acreditava-se que a vulnerabilidade havia sido corrigida pela Microsoft em dezembro de 2020 por meio da atualização relacionada à CVE-2020-17103. No entanto, Chaotic Eclipse afirma que novas análises revelaram que “o mesmo problema continua presente e sem correção” mesmo após anos de patches e atualizações de segurança.

De acordo com o pesquisador, o PoC original desenvolvido pelo Google Project Zero continua funcionando sem necessidade de alterações. Para demonstrar o impacto da falha, ele modificou o exploit para abrir um shell com privilégios SYSTEM, o nível mais alto de acesso disponível no Windows.

O ataque explora uma race condition, um tipo de vulnerabilidade que ocorre quando múltiplos processos acessam simultaneamente um recurso crítico do sistema em uma sequência inesperada. Esse tipo de exploração costuma ser mais difícil de reproduzir com estabilidade, mas o pesquisador afirma que o exploit funciona de maneira confiável em seus testes, embora a taxa de sucesso possa variar dependendo do ambiente.

Outro ponto que elevou a preocupação da comunidade é o fato de que praticamente todas as versões do Windows podem estar vulneráveis. Em publicação na rede Mastodon, o pesquisador Will Dormann afirmou que o MiniPlasma consegue abrir um “cmd.exe” com privilégios SYSTEM de forma confiável em sistemas Windows 11 executando as atualizações mais recentes de maio de 2026.

Dormann destacou, porém, que o exploit aparentemente não funciona nas versões mais recentes do canal Insider Preview Canary do Windows 11, o que pode indicar que mudanças internas mais recentes no sistema operacional acabaram mitigando o problema, ainda que sem anúncio oficial da Microsoft.

A descoberta também reacende o alerta em torno do componente “cldflt.sys”. Em dezembro de 2025, a própria Microsoft corrigiu outra vulnerabilidade de escalonamento de privilégios no mesmo driver, identificada como CVE-2025-62221, com pontuação CVSS 7.8. Segundo a empresa, essa falha já vinha sendo explorada ativamente por invasores não identificados.

O caso reforça um cenário cada vez mais frequente em ambientes Windows: vulnerabilidades antigas consideradas corrigidas acabam ressurgindo anos depois, seja por correções incompletas, regressões em atualizações posteriores ou mudanças internas no sistema operacional. Para equipes de segurança, isso amplia a complexidade da gestão de risco, principalmente porque falhas de privilege escalation são frequentemente utilizadas após o comprometimento inicial para obtenção de controle total da máquina, evasão de mecanismos de defesa e movimentação lateral dentro de redes corporativas.