MiniPlasma è il nuovo exploit per Windows 11 che sfrutta una vulnerabilità... corretta nel 2020?!? (aggiornato: 18 maggio 2026, ore 08:13)

Una vulnerabilità nel kernel di Windows che risale al 2020, teoricamente corretta con una patch nel dicembre dello stesso anno, è tornata a far parlare di sé. Il ricercatore noto come Chaotic Eclipse, già noto per aver implementato molteplici exploit per Windows negli ultimi mesi, ha pubblicato su GitHub un exploit funzionante - battezzato MiniPlasma - che dimostra come il bug originale, catalogato come CVE-2020-17103, sia ancora sfruttabile su sistemi Windows completamente aggiornati. Per qualsiasi amministratore di sistema la situazione è delicata: nessuna correzione disponibile, codice sorgente ed eseguibile compilato sono pubblici, e le precedenti divulgazioni dello stesso ricercatore sono già state adottate rapidamente da attori malevoli.

Il bug che non voleva morire

CVE-2020-17103 colpisce cldflt.sys, Windows Cloud Files Mini Filter Driver, un componente del kernel responsabile della gestione dei file cloud sincronizzati. La vulnerabilità risiede specificamente nella routine HsmOsBlockPlaceholderAccess e sfrutta il modo in cui il driver gestisce la creazione di chiavi di registro attraverso un'API non documentata, CfAbortHydration. Il difetto permette di creare chiavi di registro arbitrarie nell'hive dell'utente .DEFAULT senza controlli di accesso adeguati, aprendo la strada a un'escalation di privilegi locale.

In termini pratici, l'exploit - una race condition - consente a un utente con privilegi standard di ottenere una shell con privilegi SYSTEM. Accesso completo alla macchina, senza alcuna interazione dell'amministratore.

La falla fu scoperta da James Forshaw di Google Project Zero, che la segnalò a Microsoft nel settembre 2020. Redmond la corresse - o almeno così pareva - distribuendo una patch a dicembre 2020.

Cinque anni e mezzo dopo, tutto come prima

Chaotic Eclipse sostiene di aver scoperto che la correzione originale non è più presente. «Dopo un'indagine approfondita, si è scoperto che lo stesso identico problema segnalato a Microsoft da Google Project Zero è ancora presente, senza patch», scrive il ricercatore. E aggiunge: «Non sono sicuro se Microsoft non abbia mai applicato la correzione o se la patch sia stata silenziosamente rimossa a un certo punto per ragioni sconosciute».

La ciliegina: «Il proof-of-concept originale di Google ha funzionato senza alcuna modifica».

L'affermazione ha trovato riscontri indipendenti. BleepingComputer ha testato l'exploit su un sistema Windows 11 Pro completamente aggiornato con le patch del Patch Tuesday di maggio 2026, usando un account utente standard. Risultato: prompt dei comandi con privilegi SYSTEM, aperto senza difficoltà.

Will Dormann, analista di vulnerabilità presso Tharros, ha confermato su Mastodon che MiniPlasma funziona «in modo affidabile» su sistemi Windows 11 con gli aggiornamenti di maggio 2026.

Un dettaglio degno di nota: l'exploit non funziona sulla build più recente di Windows 11 Insider Preview Canary. Questo potrebbe indicare che Microsoft ha già introdotto una correzione nel codice pre-rilascio, ma non c'è alcuna conferma ufficiale.

Il silenzio di Microsoft

BleepingComputer ha contattato Microsoft per un commento. Al momento della pubblicazione, nessuna risposta. Nessun nuovo identificativo CVE per questa ricomparsa del bug, nessuna patch specifica. I sistemi confermati come vulnerabili includono Windows 11 nella versione pubblica più recente e Windows Server 2025; secondo il ricercatore, tutte le versioni di Windows sono probabilmente affette.

Non è la prima volta che cldflt.sys finisce sotto i riflettori. Lo stesso driver era al centro di un'altra vulnerabilità di escalation dei privilegi - CVE-2025-62221, con punteggio CVSS di 7.8 - corretta da Microsoft nel dicembre 2025 e già sfruttata attivamente all'epoca. Il componente, insomma, si conferma un punto critico nell'architettura di sicurezza di Windows.

Un ricercatore seriale, una frustrazione dichiarata

MiniPlasma non è un caso isolato. Chaotic Eclipse - noto anche come Nightmare Eclipse su GitHub - ha alle spalle una serie di divulgazioni pubbliche di vulnerabilità zero-day in Windows nelle ultime settimane:

» Leggi: [Upd: aggiornamento disponibile] BlueHammer: exploit zero-day per Windows pubblicato su GitHub

» Leggi: RedSun: zero-day per Windows Defender scavalca tutte le protezioni

» Leggi: UnDefend: il nuovo attacco zero-day che blocca Windows Defender (senza privilegi admin)

» Leggi: Rilasciati due nuovi zero-day per Windows: YellowKey bypassa BitLocker, GreenPlasma scala a SYSTEM - il codice degli exploit è disponibile pubblicamente

BlueHammer, RedSun e UnDefend sono stati tutti utilizzati attivamente in modo ostile da soggetti terzi dopo la loro pubblicazione originale. Il ricercatore ha dichiarato apertamente che la sua motivazione è l'insoddisfazione per il modo in cui Microsoft gestisce le segnalazioni di bug, e ha promesso di continuare a rilasciare exploit.

Il modello è chiaro: un ricercatore scontento pubblica codice funzionante, gli attaccanti lo adottano nel giro di giorni, Microsoft rincorre. Non è un problema del singolo CVE - è un problema strutturale.

Cosa fare adesso

Per gli amministratori di sistema la situazione è scomoda. Nessuna patch disponibile, codice sorgente pubblico, e la percentuale di successo - pur variabile per la natura stessa della race condition - si è dimostrata sufficiente per ottenere risultati concreti in ambienti di test indipendenti.

Le opzioni immediate sono poche. Verificare lo stato delle patch sui propri sistemi è il primo passo, anche se in questo caso specifico non cambierà nulla. Monitorare i canali ufficiali Microsoft per una risposta o un aggiornamento fuori ciclo è essenziale. Nel frattempo, l'unica misura concreta è rafforzare il monitoraggio delle attività anomale - in particolare tentativi di escalation dei privilegi e creazioni sospette di chiavi di registro nell'hive .DEFAULT.

Che la build Canary risulti immune è un segnale: una correzione potrebbe arrivare già nel prossimo ciclo di aggiornamenti. Ma fino ad allora, ogni sistema Windows aggiornato con le patch di maggio 2026 resta esposto a un bug che ha già sei anni - un bug che, a quanto pare, non è mai stato davvero chiuso.

Fonti: bleepingcomputer.com