microsoft

    Investigador publica exploit de Windows basado en un fallo reportado por Google hace 6 años

    Autor: Carlos Monje   |   Publicado: 22/05/2026

    windowshack fUn investigador anónimo especializado en seguridad informática ha vuelto a generar preocupación en la comunidad tecnológica tras publicar un nuevo exploit capaz de obtener control total de sistemas Windows completamente actualizados. El caso ha llamado la atención porque la vulnerabilidad había sido reportada originalmente por investigadores de Google Project Zero hace más de seis años.

    El investigador, conocido bajo los alias Nightmare-Eclipse en GitHub y Chaotic Eclipse en Blogspot, ha estado difundiendo múltiples vulnerabilidades y exploits dirigidos contra Microsoft durante los últimos meses. Diversos expertos consideran que existe una aparente confrontación personal contra la compañía.

    Anuncio

    Windows sigue siendo vulnerable a un fallo antiguo

    Un sistema Windows completamente parchado todavía sería vulnerable a un exploit identificado originalmente por investigadores de Google Project Zero hace seis años, según reveló recientemente un investigador independiente.

    El nuevo exploit permite que atacantes con acceso básico al sistema obtengan privilegios completos de administrador (SYSTEM), el nivel más alto de control dentro de Windows.

    La herramienta “MiniPlasma” obtiene privilegios SYSTEM

    El investigador publicó una herramienta denominada MiniPlasma, diseñada para abrir una consola con privilegios máximos SYSTEM en equipos Windows vulnerables.

    Según el autor:

    Anuncio

    Microsoft nunca corrigió completamente la vulnerabilidad o el parche fue revertido silenciosamente por razones desconocidas.

    El exploit afecta al controlador del kernel cldflt.sys, componente responsable de la sincronización de archivos de Microsoft OneDrive.

    El origen del problema: CVE-2020-17103

    En septiembre de 2020, el investigador de seguridad James Forshaw reportó una vulnerabilidad de escalamiento de privilegios en el controlador cldflt.sys.

    Posteriormente, Microsoft reconoció oficialmente el problema bajo el identificador:

    CVE-2020-17103

    La vulnerabilidad recibió una puntuación de gravedad de:

    • 7.8/10 según el sistema CVSS.

    Microsoft publicó un aviso de seguridad en diciembre de 2020 indicando que el fallo había sido corregido.

    Sin embargo, el nuevo investigador afirma que el problema continúa presente incluso en versiones modernas y totalmente actualizadas de Windows.

    El exploit funciona incluso en Windows 11 actualizado

    Nightmare-Eclipse indicó que reutilizó el mismo código de prueba de concepto desarrollado originalmente por Google Project Zero.

    Según sus declaraciones:

    • El exploit funciona en:
      • Windows 11 totalmente actualizado.
      • Windows Server 2025.
    • Permite abrir una consola SYSTEM sin errores.
    • El ataque es altamente confiable.

    Además, el investigador afirmó:

    “El PoC original de Google funcionó sin realizar ningún cambio.”

    Expertos externos confirmaron la vulnerabilidad

    El investigador de ciberseguridad Will Dormann confirmó públicamente que el exploit efectivamente funciona.

    Dormann compartió capturas de pantalla mostrando que el exploit logra abrir un símbolo del sistema con privilegios SYSTEM en:

    • Windows 26H1.
    • Equipos con las actualizaciones de mayo instaladas.

    No obstante, señaló que algunas compilaciones recientes del programa Insider Preview Canary de Windows 11 aparentemente ya no son vulnerables.

    ¿Cómo funciona el ataque?

    Escritura indebida en el Registro de Windows

    De acuerdo con la explicación original de Google Project Zero, el controlador vulnerable posee una función que permite escribir en el Registro de Windows sin validar correctamente los permisos del usuario.

    En condiciones normales:

    • Solo debería afectar la sección de registro del usuario actual.

    Sin embargo, el atacante aprovecha una condición de carrera (race condition) para engañar al sistema operativo.

    El truco del “ANONYMOUS LOGON”

    El exploit hace que Windows cambie temporalmente al contexto:

    ANONYMOUS LOGON

    Esta es una identidad interna utilizada cuando el sistema operativo no puede identificar correctamente al usuario que realiza una solicitud.

    Mientras ocurre ese cambio temporal, el exploit activa simultáneamente la escritura en el Registro.

    Como consecuencia:

    • Windows no logra identificar correctamente al usuario.
    • El sistema utiliza automáticamente una sección compartida del Registro con privilegios elevados.
    • La escritura se ejecuta sin restricciones.

    El resultado final es la obtención de privilegios SYSTEM.

    Un investigador que continúa liberando zero-days

    Nightmare-Eclipse ya había publicado anteriormente múltiples exploits críticos dirigidos contra Windows.

    Entre ellos destacan:

    • Escalamiento de privilegios en Windows Defender.
    • Bypass de cifrado BitLocker.
    • Nuevos zero-days posteriores al Patch Tuesday de mayo.
    • Otros exploits SYSTEM divulgados en abril de 2026.

    El investigador incluso afirmó anteriormente que Microsoft lo dejó:

    “Sin hogar y sin nada.”

    Esto ha incrementado las especulaciones sobre motivaciones personales detrás de la divulgación masiva de vulnerabilidades.

    Riesgos para usuarios y empresas

    La publicación pública del exploit incrementa significativamente el riesgo para:

    • Empresas.
    • Infraestructura gubernamental.
    • Centros de datos.
    • Usuarios corporativos.
    • Sistemas en la nube basados en Windows.

    Los atacantes podrían utilizar esta vulnerabilidad para:

    • Obtener control total del sistema.
    • Instalar malware.
    • Desactivar antivirus.
    • Robar información sensible.
    • Ejecutar ransomware.

    Microsoft aún no emite una solución definitiva

    Hasta el momento, Microsoft no ha publicado información oficial confirmando si el parche original fue revertido o si efectivamente el fallo permanece sin corregir.

    Mientras tanto, especialistas recomiendan:

    • Limitar privilegios locales.
    • Monitorear actividades sospechosas.
    • Restringir acceso de usuarios no confiables.
    • Mantener activadas soluciones EDR y monitoreo avanzado.
    • Evaluar compilaciones Insider más recientes en entornos de prueba.

    Resumen

    El caso demuestra que incluso vulnerabilidades reportadas y supuestamente corregidas hace años pueden seguir representando un riesgo crítico para millones de sistemas Windows. La reaparición de CVE-2020-17103 pone nuevamente en debate la efectividad de algunos parches de seguridad y la complejidad del mantenimiento del kernel de Windows.

    Además, la creciente publicación de exploits por parte de investigadores independientes evidencia un escenario cada vez más agresivo en el ámbito de la ciberseguridad ofensiva, donde la divulgación pública de vulnerabilidades puede tener consecuencias inmediatas para empresas y gobiernos alrededor del mundo.

    Anuncio
    Visto: 149

    También te puede interesar


    Curso de Linux Gratis

    Curso de Linux Gratis

    Últimas noticias

    Please publish modules in offcanvas position.