CVE-2020-17103: falha de 2020 reportada pelo Google Project Zero ainda permite escalonamento de privilégios no Windows 11 totalmente atualizado
Uma vulnerabilidade no driver de filtro de arquivos em nuvem do Windows, reportada ao Google Project Zero em 2020, continua ativa em instalações completamente atualizadas do Windows 11 e do Windows Server 2025 em maio de 2026, permitindo que um atacante local eleve seus privilégios até o nível SYSTEM.
Seis anos depois, a falha ainda está lá
Uma vulnerabilidade catalogada como CVE-2020-17103, identificada e reportada à Microsoft pelo Google Project Zero há seis anos, continua explorável em versões atuais do Windows. Pesquisadores de segurança confirmaram a existência de um exploit funcional para o Windows 11 — incluindo a compilação 26H1 — e para o Windows Server 2025, mesmo em sistemas com todas as atualizações disponíveis até maio de 2026 aplicadas. A constatação revela que a correção original da fabricante não eliminou completamente a superfície de ataque associada ao componente vulnerável.
O que está em jogo: privilégios de SYSTEM via driver de nuvem
A vulnerabilidade reside no Windows Cloud Files Mini Filter Driver, um componente responsável por intermediar o acesso a arquivos sincronizados com serviços de armazenamento em nuvem, como o OneDrive. Classificada com pontuação CVSS 3.1 de 7.8 (Alta), a falha permite que um usuário com acesso local e privilégios limitados execute código com permissões de SYSTEM — o nível mais elevado do sistema operacional Windows — sem necessidade de qualquer interação por parte de outro usuário. O vetor é inteiramente local, mas o impacto sobre confidencialidade, integridade e disponibilidade do sistema é considerado alto pelas métricas do NIST.
Histórico: do Project Zero ao Windows 11
Quando o CVE-2020-17103 foi divulgado originalmente, a Microsoft emitiu patches voltados às versões do Windows 10 e Windows Server então vigentes. O problema, segundo as análises mais recentes, é que o mecanismo subjacente de elevação de privilégio não foi erradicado do código-base — apenas mitigado nas configurações alvo da época. Com a evolução das versões do sistema operacional e as reformulações arquiteturais trazidas pelo Windows 11 e pelo Windows Server 2025, a exploração voltou a ser viável. A corroboração do Cybernews reforça que se trata de um exploit ativo, e não meramente teórico.
O que fazer enquanto não há correção definitiva
Até a publicação desta reportagem, a Microsoft não havia disponibilizado uma atualização específica que endereçasse o retorno da exploração em Windows 11 e Windows Server 2025. A ausência de correção torna a mitigação dependente de controles compensatórios: restringir ao mínimo os privilégios de contas locais, monitorar atividades anômalas de processos com acesso ao driver de filtro de nuvem e manter políticas de menor privilégio (least privilege) são as medidas mais diretas. Organizações que utilizam Windows Server 2025 em ambientes corporativos devem avaliar o risco com atenção redobrada, dado que ambientes de servidor tendem a concentrar dados sensíveis e a operar com maior superfície de ataque interna.
Fonte original: TecMundo — Falha reportada à Microsoft há 6 anos ainda afeta o Windows 11, publicado em 28 de maio de 2026. Corroborado por Cybernews.