MiniPlasma: exploit revive fallo crítico en Windows 11
Llevábamos años pensando que la vulnerabilidad estaba enterrada, pero acaba de resucitar de la peor forma posible. Un investigador conocido como Nightmare-Eclipse ha publicado en GitHub una prueba de concepto bautizada como MiniPlasma que reabre un agujero de escalada de privilegios local que Google Project Zero reportó a Microsoft hace seis años. Sí, seis años.
Lo más incómodo del asunto es que el exploit funciona, según el autor, «sin modificaciones» respecto al PoC original de Google. Si esto se confirma a gran escala, la última actualización KB5089549 de Windows 11 publicada el pasado Patch Tuesday también estaría afectada, y eso son palabras mayores teniendo en cuenta el lío que ya se montó con esa misma KB durante su despliegue.
Contenido
La vulnerabilidad MiniPlasma explicada sin rodeos
El fallo vive en cldflt.sys, el controlador de minifiltro de archivos en la nube de Windows. Para quien no lo tenga fresco, ese controlador es el que se encarga de que OneDrive pueda mostrar archivos «fantasma» en el Explorador, esos que aparecen como si estuvieran ahí pero realmente viven en la nube hasta que pides abrirlos. Trabaja a nivel de kernel y se engancha directamente a la pila de E/S de archivos del sistema operativo.
El problema parece estar estrechamente relacionado con el issue 42451192 de Google Project Zero, identificado como CVE-2020-17103.
Esa es la clave. MiniPlasma ataca específicamente la rutina HsmOsBlockPlaceholderAccess dentro de cldflt.sys e inserta claves de registro arbitrarias en el subárbol de usuarios .DEFAULT. Traducido al cristiano, eso permite que una cuenta sin privilegios termine ejecutando una shell con permisos SYSTEM. Privilegio máximo. Control total de la máquina.
El propio Nightmare-Eclipse, que hace poco había soltado otra prueba de concepto bautizada como GreenPlasma, advierte de que el exploit depende de condiciones de carrera (race conditions) y por tanto su fiabilidad cambia según el sistema, la carga y el temporizado. No es trivial dispararlo siempre, pero cuando entra, entra hasta el fondo.
Microsoft ya parcheó esto en 2020. O eso pensábamos
Aquí viene la parte que escuece de verdad. La vulnerabilidad original fue reportada por Google Project Zero a Microsoft y se dio por solucionada con la actualización KB4592438 para Windows 10. Google la marcó como fixed, caso cerrado, salvo que no lo estaba.
Revisando el código actual, el investigador descubrió que el mismo problema subyacente sigue ahí, vivito y coleando en sistemas modernos perfectamente parcheados. Eso abre dos hipótesis y ninguna deja a Microsoft en buen lugar: o el parche original nunca corrigió la causa raíz y solo tapó el síntoma, o alguien revirtió el fix en alguna actualización posterior sin que nadie se diera cuenta. Que un fallo de escalada de privilegios sobreviva seis años en producción es un problema serio para cualquier equipo de seguridad.
Will Dormann lo confirma, pero hay un matiz importante
El investigador de seguridad Will Dormann, una autoridad en este tipo de análisis, probó MiniPlasma y verificó que escala privilegios sin problema en versiones estables. Ahora bien, también señala algo interesante: el exploit no funciona en la última build de Windows 11 Insider Preview Canary.
Lo cual sugiere que Microsoft, esta vez sí, podría estar trabajando en una corrección de verdad. La mala noticia es que entre que algo se arregla en Canary y aterriza en un Patch Tuesday para usuarios finales pueden pasar semanas o meses. Y mientras tanto, el código de explotación está público en GitHub al alcance de cualquiera con conocimientos medios.
¿Qué puede hacer el usuario mientras Microsoft mueve ficha?
Honestamente, poco. La escalada local exige que el atacante ya tenga ejecución en la máquina, así que el riesgo real para un usuario doméstico común es moderado siempre que mantenga la higiene básica: no ejecutar binarios de origen dudoso, mantener el antivirus actualizado y aplicar todas las actualizaciones que Microsoft vaya liberando, incluida la polémica instalación obligatoria de KB5089549 que ya hemos cubierto aquí.
El escenario peligroso es otro: entornos corporativos donde un atacante consigue una credencial de usuario estándar mediante phishing o reutilización de contraseñas. Ahí, MiniPlasma convierte una intrusión menor en compromiso total del equipo. Los equipos de IT con flotas Windows tienen razones más que de sobra para vigilar este CVE muy de cerca.
Tampoco ayuda que la propia KB5089549 venga acompañada de su propia ración de problemas, desde fallos de instalación hasta su reciente activación en la Media Creation Tool. La actualización está siendo todo menos limpia.
A nivel personal, lo que más me llama la atención de este caso no es el exploit en sí, sino la sensación creciente de que hay deuda técnica acumulada en partes muy sensibles de Windows. Cuando un fallo regresa seis años después por el mismo controlador y con el mismo PoC, deja de ser un descuido puntual y empieza a parecer un problema de proceso. Veremos si Microsoft confirma oficialmente que la corrección está en camino o si toca esperar al próximo Patch Tuesday para tener algo sólido entre manos.
