Um pesquisador de cibersegurança conhecido pelo pseudônimo Chaotic Eclipse publicou no GitHub um exploit experimental, MiniPlasma, para uma vulnerabilidade zero-day no Windows. O exploit permite obter privilégios de SISTEMA — o nível máximo de acesso — em sistemas totalmente atualizados. O autor publicou tanto o código-fonte quanto o arquivo compilado, alegando que a Microsoft ainda não corrigiu a vulnerabilidade, descoberta em 2020.
Fonte da imagem: Imam Fadly / unsplash.com
O BleepingComputer confirmou que a exploração funciona no Windows 11 Pro com a Atualização de maio de 2026: um prompt de comando com privilégios de SISTEMA foi aberto a partir de uma conta padrão. Will Dormann, pesquisador líder de vulnerabilidades da Tharros, obteve o mesmo resultado, mas observou que a vulnerabilidade não é reproduzível na versão Insider Preview Canary.
A exploração se aproveita da forma como o driver cldflt.sys lida com chaves de registro por meio da API não documentada CfAbortHydration. A vulnerabilidade permite a criação de chaves arbitrárias no ramo .DEFAULT sem verificação de permissões, abrindo caminho para a escalada de privilégios.
A vulnerabilidade MiniPlasma, explorada a partir da conta de usuário comum do BleepTest, elevou os privilégios para nt authority\\system, como evidenciado pela janela do prompt de comando à direita exibindo a saída do comando whoami. Fonte da imagem: bleepingcomputer.com
MiniPlasma é a mais recente de uma série de publicações sobre vulnerabilidades zero-day no Windows que o pesquisador vem divulgando há várias semanas. A onda começou em abril com o BlueHammer (CVE-2026-33825), seguido pelo RedSun e pela ferramenta de negação de serviço UnDefend para o Windows Defender. Todas as três vulnerabilidades foram observadas em ataques reais. Em maio, o pesquisador também lançou o YellowKey — um bypass do BitLocker para Windows 11 e Windows Server 2022/2025 — e o GreenPlasma.
A Re-Logic, desenvolvedora de Terraria, anunciou que as vendas do seu jogo de aventura em…
O compromisso da Apple com a proteção da privacidade dos usuários lhe rendeu uma reputação…
O site do outrora popular sistema de gerenciamento de banco de dados relacional dBASE saiu…
O jogo de corrida arcade de mundo aberto Forza Horizon 6, da editora Xbox Game…
A espaçonave Dragon da SpaceX entregou diversas cargas e equipamentos à Estação Espacial Internacional (ISS)…
A Apple planeja introduzir um novo recurso Genmoji no iOS 27 para impulsionar a popularidade…