Um novo código de exploração partilhado recentemente reacendeu o alerta sobre uma vulnerabilidade no sistema operativo da gigante de Redmond que, afinal, pode não ter sido totalmente resolvida. O investigador Will Dormann confirmou a eficácia desta falha, publicando os resultados dos seus testes na rede Infosec Exchange, onde demonstra que o problema ainda permite o acesso indevido a componentes críticos.
O regresso de uma ameaça silenciosa
Conhecida como MiniPlasma, esta exploração foca-se numa falha de escalada de privilégios locais. O alvo principal é o controlador de mini-filtro de ficheiros na nuvem do Windows, identificado como cldflt.sys. O responsável pela manutenção do repositório público do código, conhecido como Nightmare-Eclipse, aponta que o problema está intimamente ligado a uma vulnerabilidade reportada originalmente pelo Project Zero da Google há cerca de seis anos, com o registo CVE-2020-17103.
Para quem não conhece os detalhes técnicos, este componente atua ao nível do kernel e serve para gerir as funcionalidades de sincronização na nuvem, como os ficheiros a pedido do OneDrive. Este elemento interceta e filtra as operações de leitura e escrita antes de chegarem ao disco de armazenamento. Através desta interface, é possível criar marcadores de posição no explorador de ficheiros, mantendo o conteúdo real guardado na nuvem até ser efetivamente solicitado pelo utilizador.
Atualizações recentes continuam vulneráveis
Os dados do projeto revelam que a Microsoft tentou corrigir a situação na altura, com a atualização KB4592438. No entanto, ao rever a investigação original, o autor notou que a causa raiz da falha permanece ativa nos sistemas modernos. Isto significa que até a recente atualização KB5089549, lançada na semana passada, continua a ser um alvo viável. O código de prova de conceito da Google funciona sem qualquer modificação, o que levanta sérias dúvidas sobre se a correção inicial foi incompleta ou revertida de forma acidental posteriormente.
A exploração ataca uma rotina específica dentro do controlador para colocar chaves de registo de forma arbitrária. A adaptação deste código permite abrir uma linha de comandos com privilégios máximos de sistema, partindo de uma conta com acesso limitado. Embora a sua fiabilidade varie consoante a configuração da máquina, os testes independentes confirmam a gravidade da situação. Após atestar o funcionamento do código, Will Dormann notou apenas que o mesmo não teve sucesso na versão Canary mais recente do programa Insider Preview. Isto indica que uma solução definitiva poderá estar a caminho, mas ainda vai demorar até chegar a todos os computadores nas habituais atualizações mensais.
Nenhum comentário
Seja o primeiro!