Antigo bug do Google Project Zero é usado para invadir o Windows 11 atualizado

João Fernandes Por
maio 18, 2026
Antigo bug do Google Project Zero é usado para invadir o Windows 11 atualizado
Segurança e Redes

Um investigador independente publicou um novo exploit que compromete totalmente sistemas Windows atualizados, utilizando uma vulnerabilidade crítica com seis anos que foi originalmente descoberta pela equipa do Google Project Zero. O autor da partilha, conhecido na comunidade de cibersegurança pelas suas ações retaliatórias contra a Microsoft, revelou que a falha de segurança nunca foi devidamente corrigida pela tecnológica de Redmond ou que, por motivos desconhecidos, a respetiva correção acabou por ser silenciosamente revertida em pacotes de atualização de sistema posteriores.

A falha em causa afeta diretamente o ficheiro cldflt.sys, um controlador de kernel (driver) do Windows que desempenha um papel central na sincronização de ficheiros do serviço na nuvem OneDrive. Identificada em setembro de 2020 pelo especialista em segurança James Forshaw, a vulnerabilidade foi catalogada na altura sob o registo CVE-2020-17103, recebendo uma classificação de gravidade de 7,8 em 10. Para surpresa da comunidade técnica, o código de prova de conceito (PoC) original desenvolvido pela Google há mais de meia década continua a funcionar na perfeição sem exigir qualquer tipo de alteração.

Batizada pelo hacker com o nome de "MiniPlasma", a ferramenta agora disponibilizada tira partido desta vulnerabilidade adormecida para abrir uma linha de comandos com privilégios de "SYSTEM", o nível mais elevado de controlo e execução dentro do ecossistema Windows. Isto significa que um atacante que possua apenas um acesso local básico e limitado ao computador consegue elevar instantaneamente as suas permissões, assumindo o controlo absoluto sobre a máquina para instalar malware, desativar defesas corporativas ou extrair dados confidenciais de outros utilizadores do sistema.

No plano estritamente técnico, o problema reside numa função do controlador de filtros de nuvem que permite a escrita direta no Registo do Windows sem validar as devidas verificações de segurança. O exploit tira partido de uma falha de concorrência (race condition) para enganar o sistema operativo no momento exato da requisição, forçando uma mudança temporária para a identidade nativa ANONYMOUS LOGON. Como o Windows não consegue determinar com precisão a autoria do utilizador que efetua o pedido, reverte automaticamente a escrita para uma secção padrão partilhada ao nível do sistema, validando a operação maliciosa.

Especialistas independentes de cibersegurança, incluindo o prestigiado analista Will Dormann, já confirmaram publicamente a eficácia deste exploit em ambientes de produção reais executando o Windows 11 e o Windows Server 2025, atualizados com os pacotes de maio de 2026 (ramo 26H1). Esta revelação faz parte de uma campanha contínua levada a cabo pelo hacker apelidado de "Nightmare-Eclipse", que desde abril de 2026 tem lançado sucessivos zero-days - incluindo desvios à encriptação do BitLocker e falhas no Windows Defender - justificando as suas ações como uma vingança pessoal contra a Microsoft.

Classifique este item
(0 votos)
Ler 113 vezes
Tagged em
Mais nesta categoria: « Ataque de ransomware à Zara expõe dados de suporte e emails de 200 mil clientes Ivanti, Fortinet, SAP e VMware corrigem falhas críticas de RCE »

Itens relacionados

Top