Nueva 0-day en Windows permite el control total del sistema en pocos pasos; el parche no llegará hasta el 9 de junio.
Ciberdelincuentes ya usan MiniPlasma para comprometer equipos con Windows.
Se encontró una vulnerabilidad peligrosa en Windows llamada MiniPlasma, que ya se está usando en ataques reales. El problema permite a un atacante obtener en el sistema privilegios a nivel SYSTEM, es decir, el control prácticamente total del equipo. Microsoft publicará la corrección el 9 de junio.
Sobre la vulnerabilidad informó el Laboratorio Kaspersky. En los últimos dos meses, el especialista anónimo Nightmare Eclipse, también conocido como Chaotic Eclipse, reveló públicamente seis vulnerabilidades de Windows y publicó de inmediato programas listos para su explotación. Microsoft no recibió la información sobre los problemas con antelación, por lo que la compañía no tuvo tiempo para preparar correcciones antes de la publicación.
La más peligrosa de las vulnerabilidades reveladas fue MiniPlasma. Está relacionada con el antiguo problema CVE-2020-17103 (CVSS2.0/AV:L/AC:L/Au:N/C:C/I:C/A:C — 7.2 (High)), que se consideró cerrado ya en 2020. Sin embargo, los sistemas Windows 11 completamente actualizados, así como Windows Server 2022 y Windows Server 2025, siguen siendo vulnerables a este tipo de ataque.
Como CVE-2020-17103, el nuevo problema afecta al controlador Cloud Filter y al procedimiento HsmOsBlockPlaceholderAccess. El ataque corresponde a una elevación de privilegios local. Un atacante necesita primero acceso al sistema, pero tras la explotación exitosa de MiniPlasma puede alcanzar el nivel máximo de permisos. Se observan ataques reales que usan MiniPlasma desde el 10 de abril. El código de demostración publicado aumenta el riesgo de nuevos ataques, ya que no solo pueden aprovechar la vulnerabilidad grupos avanzados, sino también atacantes menos preparados.
El Laboratorio Kaspersky describió señales por las que se pueden identificar intentos de explotación de MiniPlasma: en la clave del registro HKU.DEFAULT\Software\Policies\Microsoft\CloudFiles\BlockedApps se crean enlaces simbólicos, el archivo wermgr.exe aparece fuera de los catálogos del sistema habituales, y archivos del sistema o sus imitaciones se ejecutan desde carpetas atípicas. Otra señal adicional es la biblioteca NtApiDotNet: en el código de demostración se utilizó para trabajar con funciones de bajo nivel del registro de Windows.
Recomiendan prestar especial atención a cómo cambia la clave del registro CloudFiles\BlockedApps, se inicia la tarea \Microsoft\Windows\Windows Error Reporting\QueueReporting, aparece wermgr.exe fuera de las carpetas C:\Windows\System32 y C:\Windows\SysWOW64, así como a los procesos que se lanzan a través de wermgr.exe.
Hasta la salida de la corrección, los administradores deben vigilar atentamente los cambios sospechosos en el registro, el inicio no estándar de archivos del sistema y la actividad inusual del servicio de informes de errores de Windows.