Conheça o MiniPlasma, o exploit que prova que nem todo patch de segurança cumpre o que promete.

Para a maioria dos usuários, poucas coisas trazem tanta paz de espírito digital quanto abrir o Windows Update e ver a frase "Você está atualizado" acompanhada de um selo verde. Essa mensagem reforça a crença de que as defesas do sistema operacional são impenetráveis contra ameaças conhecidas. No entanto, uma "autópsia digital" recente revelou uma realidade perturbadora: e se as atualizações que instalamos hoje estivessem ignorando problemas críticos reportados há seis anos? O surgimento do MiniPlasma não é apenas uma nova ameaça, é a prova de uma regressão de vulnerabilidade sem precedentes. O dado mais alarmante? O código original de 2020 funciona em um sistema de 2026 sem a necessidade de alterar uma única linha sequer.

O surgimento do MiniPlasma não é apenas uma nova ameaça, é a prova de uma regressão de vulnerabilidade sem precedentes.

O MiniPlasma reacende dúvidas sobre a eficácia de patches de segurança no Windows 11. Imagem: ChatGPT 5.5 e Nano Banana 2

O retorno de um erro esquecido

A origem do MiniPlasma remete a 2020, quando James Forshaw, pesquisador do Google Project Zero, identificou uma vulnerabilidade de escalada de privilégios rastreada como CVE-2020-17103. Na época, a Microsoft afirmou ter corrigido o problema. Contudo, o pesquisador conhecido como Chaotic Eclipse, também chamado de Nightmare Eclipse, revelou que o cenário pode ser muito mais grave.

Ao testar o código original da prova de conceito (PoC, um código demonstrativo usado para comprovar que uma falha existe) desenvolvida pelo Google em 2020, Chaotic Eclipse descobriu que ele ainda é capaz de comprometer o Windows 11 totalmente atualizado em maio de 2026. A revelação sugere que o patch original nunca foi realmente eficaz ou acabou sendo revertido silenciosamente durante atualizações posteriores.

Chaotic Eclipse afirmou:

O que significa ter "Acesso SYSTEM"?

Para entender o perigo, é preciso compreender o conceito de Escalada de Privilégios. No Windows, o nível SYSTEM é o grau mais alto de autoridade, operando diretamente no Kernel, o núcleo do sistema operacional responsável por controlar hardware e software. Esse nível de acesso está acima até mesmo de um administrador comum.

Ao obter privilégios SYSTEM, o invasor se torna o verdadeiro "dono" da máquina. Os riscos incluem:

Instalação de malwares persistentes: inserção de ameaças que sobrevivem a reinicializações e limpezas.

Roubo irrestrito de dados: acesso a arquivos de todos os usuários e credenciais protegidas.

Modificação de variáveis de ambiente: através da chave Volatile Environment, o invasor pode injetar comandos executados automaticamente quando qualquer usuário fizer login.

Desativação de defesas: capacidade de desligar o Windows Defender e outros softwares de segurança sem resistência do sistema.

A anatomia do ataque: drivers e a "falha fantasma"

O alvo do MiniPlasma é o driver cldflt.sys, componente responsável pelo gerenciamento de arquivos em nuvem do OneDrive. A vulnerabilidade está especificamente em uma rotina interna chamada HsmOsBlockPlaceholderAccess, acionada por uma API não documentada chamada CfAbortHydration.

A falha envolve o driver cldflt.sys, o OneDrive e verificações de acesso no registro do Windows. Imagem: ChatGPT 5.5 e Nano Banana 2

O problema técnico ocorre porque a Microsoft omitiu uma flag de segurança essencial: a OBJ_FORCE_ACCESS_CHECK. Sem essa verificação forçada, o driver permite manipulações no registro do Windows sem validar corretamente se o usuário possui autorização para executar a ação.

O exploit utiliza uma Race Condition, também chamada de condição de corrida, uma falha lógica em que dois processos disputam acesso ao mesmo recurso simultaneamente. O MiniPlasma alterna rapidamente entre um token anônimo, uma identidade digital sem privilégios, e o token do usuário real. Essa troca confunde o Windows e força o sistema a gravar dados no Registry Hive, o banco interno de configurações do sistema, especificamente na área chamada .DEFAULT.

Como a checagem de segurança é ignorada, o invasor consegue criar chaves arbitrárias no registro e executar um prompt de comando com privilégios máximos.

Um protesto em código aberto

A divulgação do MiniPlasma faz parte de uma sequência de ferramentas liberadas por Chaotic Eclipse, incluindo BlueHammer, RedSun e YellowKey. Segundo o pesquisador, o objetivo é protestar contra o programa de recompensas por bugs da Microsoft, alegando que a empresa ignora pesquisadores independentes e falha em preservar a integridade de seus patches de segurança.

Apesar do discurso de denúncia, o impacto prático no mundo real é imediato. Especialistas da empresa de segurança Huntress confirmaram que criminosos começaram a utilizar essas ferramentas em ataques reais poucos dias após a publicação dos códigos no GitHub.

Leia também: COLUNA: Deepfake — Você saberia diferenciar a realidade da fantasia em apenas 6 segundos?
Leia também: COLUNA: Hacking Automatizado — O que o alerta do Google sobre a IA significa para você
Leia também: COLUNA: A inteligência artificial privada que vai revolucionar sua rotina

Segundo o pesquisador:

O status atual: quem está em risco?

A eficácia do MiniPlasma foi confirmada pelo analista de vulnerabilidades Will Dormann e pelo portal BleepingComputer. O exploit funciona de forma confiável em versões totalmente atualizadas do Windows 10 e Windows 11 Pro com o Patch Tuesday de maio de 2026.

Essa não é a primeira vez que o driver cldflt.sys aparece no centro de uma crise de segurança. Ele já havia sido alvo da vulnerabilidade CVE-2025-62221, explorada por criminosos antes mesmo da disponibilização de um patch oficial.

Até o momento, a única exceção conhecida é a build Canary do Windows Insider Preview, indicando que uma possível correção pode estar sendo testada internamente e sob sigilo. Enquanto um patch oficial não é liberado para o público geral, a recomendação para profissionais de TI é monitorar rigorosamente a criação de chaves suspeitas no registro .DEFAULT.

Conclusão e reflexão final

O caso MiniPlasma é um lembrete contundente de que segurança digital não é um estado permanente, mas um processo sujeito a falhas humanas, técnicas e até organizacionais. Quando um código de seis anos atrás volta a funcionar em um sistema moderno, a confiança na transparência das grandes corporações inevitavelmente entra em debate.

Diante de vulnerabilidades que parecem "reencarnar", o selo "Você está atualizado" deixa de representar uma garantia absoluta e passa a levantar uma pergunta inevitável: até que ponto podemos confiar naquilo que não conseguimos auditar?

Consultoria em segurança digital

Se sua empresa precisa revisar atualizações, monitorar riscos, proteger estações de trabalho e fortalecer processos de resposta a vulnerabilidades, a Valente Soluções em Informática pode ajudar com análise técnica, orientação especializada e suporte em segurança digital. Para conversar com nossa equipe, acesse nosso contato.

Carlos Valente
Valente Soluções em Informática
contato@valentesolucoes.com.br

Nota: Todas as imagens utilizadas neste artigo foram geradas com o auxílio de inteligência artificial por meio do ChatGPT 5.5 e Nano Banana 2, com o objetivo de ilustrar o conteúdo de forma didática e acessível aos nossos leitores.