MiniPlasma zero-day consente l'accesso al SISTEMA su Windows 11 completamente patchato

Un ricercatore noto come Chaotic Eclipse ha rilasciato un exploit funzionante per l'escalation dei privilegi di Windows che garantisce l'accesso al SISTEMA su macchine Windows 11 completamente patchate, comprese quelle che eseguono l'ultimo aggiornamento Patch Tuesday del maggio 2026.

L'exploit, denominato MiniPlasma, è stato pubblicato di recente insieme al codice sorgente e ad un eseguibile compilato su GitHub. BleepingComputer ha confermato che funziona con un account utente standard, aprendo un prompt di comandi a livello di SISTEMA su un'installazione fresca di Windows 11 Pro. Il ricercatore di sicurezza Will Dormann di Tharros ha verificato in modo indipendente i risultati.

Un bug che doveva essere risolto nel 2020

La falla si trova nel driver Windows Cloud Filter, cldflt.sys, in particolare in una routine chiamata HsmOsBlockPlaceholderAccess. Il bug non è nuovo. Il ricercatore di Google Project Zero James Forshaw ha segnalato lo stesso problema a Microsoft nel settembre 2020, e gli è stato assegnato CVE-2020-17103 e presumibilmente è stato risolto nel dicembre dello stesso anno. Chaotic Eclipse ha eseguito il proof-of-concept originale di Forshaw senza modifiche e riferisce che ha funzionato come tale. "Non sono sicuro se Microsoft non abbia mai applicato una patch al problema o se la patch sia stata silenziosamente ritirata a un certo punto per motivi sconosciuti", ha scritto il ricercatore sulla divulgazione.

L'exploit sfrutta il modo in cui il driver Cloud Filter gestisce la creazione di chiavi di registro attraverso un'API non documentata, consentendo a un utente standard di creare chiavi di registro arbitrarie nell'hive utente .DEFAULT senza i controlli di accesso che dovrebbero impedirle. Si tratta di una condizione di gara, quindi il tasso di successo varia, ma i risultati confermati di BleepingComputer risultati confermati di BleepingComputer suggeriscono che è abbastanza affidabile sull'hardware reale. Un'eccezione: non funziona sull'ultima build di Windows 11 Insider Preview Canary.

Parte di una campagna deliberata

MiniPlasma è l'ennesima divulgazione di Windows zero-day da parte di Chaotic Eclipse nelle ultime sei settimane. Il ricercatore ha iniziato ad aprile con BlueHammer, una vulnerabilità di escalation dei privilegi locali di Windows Defender che Microsoft ha patchato nel Patch Tuesday del 14 aprile come CVE-2026-33825, pochi giorni dopo la sua divulgazione pubblica il 3 aprile. A questa ha fatto seguito RedSun, un secondo LPE in Defender che, secondo quanto riferito, Microsoft ha risolto silenziosamente senza assegnare un CVE. UnDefend, uno strumento di denial-of-service di Defender che blocca gli aggiornamenti delle definizioni di sicurezza, è venuto dopo. Poi YellowKey, un bypass di BitLocker che sblocca le unità crittografate tramite l'ambiente di ripristino WinRE. Poi GreenPlasma, un'escalation dei privilegi del framework CTFMON per il quale il ricercatore ha nascosto parte del codice dell'exploit. Ora MiniPlasma.

Tutti e tre gli exploit originali, BlueHammer, RedSun e UnDefend, sono stati confermati come sfruttati in attacchi reali dai ricercatori di Huntress poco dopo la divulgazione pubblica. Il ricercatore è esplicito sul motivo per cui sono stati rilasciati: insoddisfazione per il modo in cui Microsoft gestisce le segnalazioni di bug bounty e la verifica delle patch. Microsoft non ha commentato in modo specifico MiniPlasma. In precedenza, l'azienda ha dichiarato a BleepingComputer che "sostiene la divulgazione coordinata delle vulnerabilità" come pratica di settore ampiamente adottata.