MiniPlasma é usado para contornar a segurança de endpoints

15/06/2026 mindsecblog Notícias 0

MiniPlasma é usado para contornar a segurança de endpoints

Os adversários estão ativamente utilizando a vulnerabilidade zero-day MiniPlasma, ainda sem patch de segurança, para contornar a segurança tradicional de endpoints. Saiba como a visibilidade contínua da rede ajuda a conter o impacto.

MiniPlasma é uma vulnerabilidade crítica de dia zero do Windows que adversários estão explorando ativamente para obter controle total do sistema em ambientes Windows modernos. Originada por um pesquisador conhecido como Chaotic Eclipse, a exploração reativa uma correção defeituosa da Microsoft de 2020 para a CVE-2020-17103.
Essa vulnerabilidade de escalonamento de privilégios local (LPE) afeta o Windows 11 e o Windows Server 2022 e 2025. Um LPE permite que um invasor que já tenha obtido acesso básico a um dispositivo conceda a si mesmo controle administrativo total. Isso permite que o invasor ignore os controles de segurança locais do endpoint e execute seus objetivos finais.
Informações rápidas: Miniplasma Windows LPE Zero-Day

  • Incidente: Exploração ativa de uma nova vulnerabilidade zero-day do Windows.
  • Agente de ameaça: Atividade ligada a agentes de ameaça sofisticados que utilizam infraestrutura geolocalizada na Rússia. 
  • Escala de impacto: Alta gravidade. Permite a escalada de privilégios locais para controle administrativo absoluto.
  • Próximos passos: É necessário monitoramento imediato da rede. Não há nenhuma correção oficial do fornecedor disponível no momento.

Como funciona o exploit MiniPlasma?

A vulnerabilidade explorada tem como alvo o driver Windows Cloud Files Mini Filter (cldflt.sys), uma ferramenta padrão implementada por padrão em plataformas Windows modernas para gerenciar armazenamento em nuvem, como o OneDrive. Ao abusar de uma rotina específica chamada HsmOsBlockPlaceholderAccess com um comando inesperado, o atacante força um erro de sistema que burla as regras de segurança normais.
Uma vez que a vulnerabilidade seja explorada e esse driver seja o alvo, a sequência do ataque se desenrola da seguinte forma:

  1. Ponto de apoio: O atacante executa um processo com privilégios limitados como um usuário padrão.
  2. Abuso de API: O exploit invoca a API não documentada CfAbortHydration. Isso aciona um comando de sistema oculto que não se destina ao uso padrão ou público.
  3. Manipulação do Registro: Ao manipular esta API, o exploit desencadeia uma condição de corrida (quando um sistema tenta executar duas ou mais operações exatamente ao mesmo tempo). Esse erro de sincronização permite modificações não autorizadas no registro dentro do hive do usuário DEFAULT. Isso altera os blueprints principais do sistema para burlar as verificações de acesso normais.
  4. Execução: A manipulação força o sistema a abrir um shell de comando interativo com privilégios totais de SISTEMA.

No Windows, o nível SYSTEM é o mais alto possível de privilégio administrativo, superior até mesmo a uma conta de Administrador de TI padrão. Ao executar um novo programa com privilégios SYSTEM, o invasor obtém controle total para desativar as ferramentas de segurança locais.
Uma vez que um invasor obtém privilégios de SISTEMA, a segurança tradicional dos endpoints fica facilmente comprometida. Isso torna a avaliação contínua da rede crucial para a sobrevivência.

Como a Matriz Defensiva Lumu avalia o compromisso?

Confiar exclusivamente em controles de endpoint é uma estratégia de alto risco ao lidar com vulnerabilidades zero-day não corrigidas, como o MiniPlasma. A Matriz Defensiva da Lumu oferece avaliação contínua de comprometimento, proporcionando valor diferenciado tanto na fase de pré-comprometimento quanto na de pós-comprometimento do ciclo de vida do ataque.

 Fase 1: Pré-CompromissoViolação inicialFase 2: Pós-Acordo
Ações do atacantePhishing, C2, credenciais roubadasMiniPlasma executado (geração do SISTEMA)EDR cego, movimento lateral, exfiltração de dados
Como Lumu reageLumu detecta e bloqueiaLumu aciona resposta automatizadaLumu isola a ameaça de forma independente.

Fase 1: Pré-Compromisso (Impedir uma Posição de Apoio)

O MiniPlasma requer execução local, portanto, a defesa mais confiável é impedir que o adversário consiga obter uma posição inicial. O Lumu mapeia e neutraliza os vetores de entrega muito antes da execução do código de exploração:

  1. Elimine os riscos de identidade: agentes maliciosos compram acesso em mercados da dark web ou utilizam programas de roubo de informações para obter credenciais legítimas de usuários. O Lumu Discover monitora continuamente a superfície de ataque externa e as vulnerabilidades expostas, alertando sobre credenciais corporativas comprometidas e pontos de entrada vulneráveis ​​antes que sejam explorados para o acesso inicial.
  2. Detecção de infraestrutura de ataque em estágio inicial: os adversários precisam baixar suas ferramentas maliciosas e estabelecer canais de Comando e Controle (C2) em estágio inicial para se comunicar com o malware. O Lumu Defender analisa metadados de rede para identificar e bloquear automaticamente conexões com domínios de distribuição maliciosos, tráfego de proxy não autorizado e servidores de teste fraudulentos.

Fase 2: Pós-Acordo (Conter o Raio da Explosão)

Se um atacante conseguir explorar o MiniPlasma e obter privilégios de SISTEMA, o paradigma de segurança muda. Agentes locais de Detecção e Resposta de Endpoint (EDR) e Antivírus (AV) ficam vulneráveis ​​nessa fase. Um adversário com privilégios de SISTEMA pode frequentemente encerrar processos de segurança, limpar logs de eventos locais, modificar o comportamento do kernel ou injetar código em processos confiáveis ​​do sistema para permanecer invisível.
A arquitetura centrada em rede do Lumu torna-se a sua linha de defesa mais resiliente:

  1. Visibilidade à prova de adulteração fora da banda: Fora da banda (OOB, do inglês Out-of-Band) refere-se à forma como o Lumu opera separadamente do sistema principal. Embora um invasor possa comprometer os logs do host local, ele não pode se esconder da rede. O Lumu coleta metadados diretamente da sua infraestrutura de rede. Mesmo que o agente EDR local de um endpoint seja ocultado ou desinstalado, o Lumu mantém visibilidade total sobre o comportamento desse ativo.
  2. Detectando ataques de C2 após escalonamento de privilégios: Depois que os atacantes elevam seus privilégios, geralmente implantam um beacon ou mecanismo de persistência de C2 secundário com altos privilégios. O Lumu correlaciona continuamente o tráfego da sua rede com informações globais sobre ameaças para detectar comportamentos sutis de beacon originados da conta SYSTEM recém-comprometida.
  3. Neutralizando o Movimento Lateral (Tráfego Leste-Oeste): Um único endpoint comprometido raramente representa o objetivo final. Os atacantes usam seus privilégios de SISTEMA para roubar credenciais e se deslocar para ativos de maior valor, como Controladores de Domínio. O Lumu sinaliza imediatamente conexões internas anômalas, solicitações RPC/SMB remotas não autorizadas e varreduras laterais em sub-redes.
  4. Impedindo a exfiltração de dados: Antes que ocorra a criptografia por ransomware ou a dupla extorsão, os dados precisam sair da rede. O Lumu avalia anomalias de volume e destino em tempo real para detectar protocolos de tunelamento não autorizados ou grandes transferências de dados de saída. Essa visibilidade permite que você interrompa a conexão com repositórios de nuvem maliciosos e minimize o impacto.

Embora a visibilidade da rede ofereça a melhor proteção possível, sua equipe de segurança também deve tomar medidas preventivas imediatas.

Que medidas as equipes de segurança devem tomar agora?

Até que a Microsoft lance uma atualização de segurança oficial (prevista para o ciclo de atualizações de segurança de junho de 2026), as organizações devem implementar imediatamente as seguintes configurações:

  1. Adote uma arquitetura de rede fora de banda: assegure-se de que a coleta de metadados de rede esteja configurada via Lumu para que a visibilidade das ameaças permaneça contínua, independentemente da integridade de cada host.
  2. Imponha fortes limites de identidade: Exija autenticação multifator (MFA) resistente a phishing em todos os pontos de acesso externos para neutralizar vetores de roubo de credenciais. Descubra quaisquer contas comprometidas e proteja sua superfície de ataque com o Lumu Discover .
  3. Audite o driver do Cloud Files: Se a sua organização não exige estritamente a sincronização automática de arquivos na nuvem, consulte sua equipe de segurança para aplicar políticas rigorosas que restrinjam o acesso ao driver vulnerável (cldflt.sys).
  4. Isolar alvos de alto valor: isole servidores sensíveis e controladores de domínio em zonas de rede restritas. Isso permite que o Lumu Defender destaque imediatamente qualquer tráfego interno não autorizado entre zonas, indicando progressão lateral.

Não é possível confiar apenas na segurança dos endpoints ao enfrentar vulnerabilidades de dia zero como o MiniPlasma. Manter visibilidade contínua da rede fora da banda é a única maneira de detectar e isolar ameaças antes que elas comprometam totalmente o sistema.

 

Por: Javier Vargas - Diretor de Produtos da Lumu Technologies
Publicado em: Blog Lumu

Clique e fale com representante oficial Sophos

 

Veja também:

About mindsecblog 3607 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Servidores Docker infectados com malware DDoS XORDDoS e Kaiji

17/09/2020 mindsecblog Notícias 1

Servidores Docker infectados com malware DDoS XORDDoS e Kaiji. A maioria dos servidores Docker geralmente está infectada com malware de mineração de criptomoedas. Até recentemente, os servidores Docker mal configurados e deixados expostos online eram […]

Notícias

Forçar Armadas Participam do maior exercício de Defesa Cibernética do Mundo

19/04/2021 mindsecblog Notícias 2

Forçar Armadas Participam do maior exercício de Defesa Cibernética do Mundo. O Exército Brasileiro, a Marinha do Brasil e a Força Aérea Brasileira participaram pela segunda vez do Locked Shields. O Exército Brasileiro, a Marinha […]

Notícias

Cibersegurança além do perímetro

25/09/2025 mindsecblog Notícias 0

Cibersegurança além do perímetro: identidade digital é o novo escudo das empresas O mais recente ataque ao sistema financeiro brasileiro se tornou um caso emblemático sobre como o conceito tradicional de perímetro corporativo ficou ultrapassado. […]

Be the first to comment

Deixe sua opinião!