MiniPlasma, nuovo exploit Windows: basta accesso locale per ottenere privilegi SYSTEM anche sui PC aggiornati

Una nuova catena di exploit chiamata MiniPlasma riporta sotto i riflettori un problema che Microsoft aveva già affrontato nel 2020 con la vulnerabilità CVE-2020-17103. Il proof-of-concept pubblicato dal ricercatore noto come Nightmare-Eclipse permette di ottenere privilegi SYSTEM su sistemi Windows completamente aggiornati. In pratica, un utente con accesso locale alla macchina può godere dei permessi Windows più estesi in assoluto.

Da settimane circolano exploit come BlueHammer, RedSun, GreenPlasma e YellowKey: tutti attribuiti allo stesso ricercatore, che sta portando avanti una campagna di protesta contro il team di sicurezza Microsoft, alcuni colpiscono Microsoft Defender, altri BitLocker o componenti storicamente considerati affidabili. Molti di questi bug sembrano derivare da logiche di sicurezza già corrette in passato oppure mitigate in modo incompleto. MiniPlasma rientra esattamente in questa categoria.

Nightmare-Eclipse sostiene che la correzione originaria della falla CVE-2020-17103 non ha realmente eliminato il problema oppure che modifiche successive abbiano reintrodotto parte della superficie vulnerabile.

CVE-2020-17103: la correzione che non ha risolto i problemi di sicurezza in Windows

La vulnerabilità originale coinvolge cldflt.sys, il Cloud Files Mini Filter Driver introdotto da Microsoft per gestire l’integrazione dei file sincronizzati con OneDrive e con il framework Cloud Files API. Si tratta di un driver kernel-mode che lavora nello stack del file system stack e che opera con privilegi elevatissimi.

Nel 2020 Microsoft aveva classificato CVE-2020-17103 come vulnerabilità di elevazione privilegi. MiniPlasma riprende quello schema ma lo adatta alle versioni moderne di Windows 11 e Windows Server. Il bug permette ancora di ottenere una shell con privilegi SYSTEM, il livello di accesso più elevato in Windows, sfruttando una race condition, cioè una condizione in cui più processi accedono contemporaneamente alle stesse risorse, insieme a reparse point e ad altri meccanismi legati alla gestione dei file sincronizzati tramite servizi cloud.

La parte interessante è che l’exploit funziona anche su macchine con tutte le patch cumulative di maggio 2026 installate. Ciò a conferma che la correzione introdotta a suo tempo da Microsoft non sembra coprire tutti gli scenari possibili.

Come funziona l’escalation dei privilegi

Molti exploit moderni per Windows combinano diverse tecniche avanzate del file system e della gestione degli oggetti di sistema. Tra queste ci sono le giunzioni NTFS, che reindirizzano una cartella verso un altro percorso del disco; i collegamenti simbolici (symbolic link), che fanno puntare file o directory a un’altra posizione e gli Object Manager symlink, collegamenti interni usati dal kernel di Windows per associare oggetti di sistema a percorsi differenti.

Gli attaccanti sfruttano inoltre gli opportunistic lock, meccanismi che consentono di bloccare temporaneamente l’accesso ai file per alterarne il comportamento, insieme alle vulnerabilità TOCTOU (Time-of-Check to Time-of-Use), race condition in cui una risorsa viene modificata tra la fase di verifica e quella di utilizzo effettivo da parte del sistema o di un’applicazione.

MiniPlasma utilizza una catena simile: l’attaccante prepara una struttura controllata nel file system, induce il driver a operare su un percorso apparentemente innocuo e poi reindirizza la destinazione reale verso directory sensibili come System32 o percorsi accessibili solo da SYSTEM.

Negli scenari di questo tipo basta sovrascrivere o manipolare un file dotato di privilegi elevati per ottenere esecuzione arbitraria ad alto livello. Non serve compromettere il kernel direttamente: il sistema stesso esegue operazioni pericolose per conto dell’attaccante.

MiniPlasma non è un exploit remoto: richiede infatti l’esecuzione locale di codice. Però in ambienti enterprise il rischio resta elevato perché molte intrusioni iniziano proprio con accessi limitati ottenuti tramite phishing, macro nei documenti Office, compromissioni del browser o malware user-mode.

Il rapporto sempre più teso tra ricercatore e Microsoft

Come rilevato in precedenza e negli altri nostri articoli, dietro la pubblicazione dell’exploit MiniPlasma c’è anche una componente piuttosto delicata legata al vulnerability disclosure process (CVD). Nightmare-Eclipse accusa Microsoft Security Response Center di aver ignorato o sottovalutato diverse segnalazioni: lo stesso schema si era già visto con BlueHammer e RedSun.

La situazione crea un effetto pericoloso: exploit pubblici senza patch disponibili e senza mitigazioni ufficiali immediate. In ambito enterprise significa aumentare improvvisamente la finestra di esposizione agli attacchi.

Alcuni ricercatori sostengono che il programma bug bounty di Microsoft penalizzi vulnerabilità considerate “non realistiche”, salvo poi vedere exploit affidabili circolare pubblicamente mesi dopo. La frattura tra chi sviluppa il sistema operativo e chi ne studia le superfici d’attacco quotidianamente sembra farsi sempre più profonda.

Per aziende, professionisti e utenti privati, oggi il rischio maggiore riguarda la somma di vulnerabilità apparentemente locali ma facilmente concatenabili. Una semplice esecuzione codice in user-mode può trasformarsi rapidamente in controllo totale del sistema operativo.