Una catena di exploit battezzata MiniPlasma sta facendo discutere parecchio nel mondo della sicurezza informatica. Il motivo è semplice e, allo stesso tempo, piuttosto inquietante: permette di ottenere privilegi SYSTEM su macchine Windows completamente aggiornate, comprese quelle con le patch cumulative di maggio 2026 già applicate. Il proof of concept è stato pubblicato dal ricercatore conosciuto come Nightmare-Eclipse, lo stesso nome dietro una serie di exploit recenti come BlueHammer, RedSun, GreenPlasma e YellowKey. Tutti questi lavori fanno parte di quella che sembra una vera e propria campagna di protesta contro il team di sicurezza di Microsoft, accusato di aver ignorato o sottovalutato diverse segnalazioni.
Il punto di partenza di MiniPlasma è una vulnerabilità già nota, la CVE-2020-17103, che Microsoft aveva corretto nel 2020. Quella falla riguardava cldflt.sys, il Cloud Files Mini Filter Driver usato per gestire la sincronizzazione dei file con OneDrive e con il framework Cloud Files API. Si tratta di un driver che opera a livello kernel, quindi con privilegi elevatissimi nello stack del file system. La correzione rilasciata all’epoca, però, non sembra aver chiuso definitivamente il problema. Nightmare-Eclipse sostiene che le modifiche successive abbiano reintrodotto parte della superficie vulnerabile, e MiniPlasma ne è la dimostrazione pratica: l’exploit funziona su versioni moderne di Windows 11 e Windows Server, aggirando le protezioni esistenti per ottenere una shell con il massimo livello di accesso possibile.
Come funziona la scalata dei privilegi con MiniPlasma
Il meccanismo sfruttato da MiniPlasma combina diverse tecniche avanzate che oggi rappresentano il pane quotidiano degli exploit moderni per Windows. Tra queste ci sono le giunzioni NTFS, che permettono di reindirizzare una cartella verso un percorso diverso sul disco, e i collegamenti simbolici, che fanno puntare file o directory verso posizioni alternative. A queste si aggiungono gli Object Manager symlink, collegamenti interni usati dal kernel per associare oggetti di sistema a percorsi differenti.
La parte cruciale dell’attacco si basa su una combinazione di opportunistic lock, meccanismi che bloccano temporaneamente l’accesso ai file per alterarne il comportamento, e vulnerabilità di tipo TOCTOU (Time of Check to Time of Use). Queste ultime sono race condition nelle quali una risorsa viene modificata nel lasso di tempo tra la verifica e l’utilizzo effettivo da parte del sistema. MiniPlasma prepara una struttura controllata nel file system, induce il driver a lavorare su un percorso che sembra innocuo e poi reindirizza la destinazione reale verso directory sensibili come System32 o percorsi accessibili solo da SYSTEM. Basta sovrascrivere o manipolare un singolo file dotato di privilegi elevati per ottenere esecuzione arbitraria ad alto livello, senza bisogno di compromettere direttamente il kernel. È il sistema stesso che finisce per eseguire operazioni pericolose per conto di chi attacca.
Va detto che MiniPlasma non è un exploit remoto: richiede l’esecuzione locale di codice sulla macchina. Questo però non riduce il rischio quanto si potrebbe pensare, soprattutto in ambienti aziendali. Molte intrusioni partono proprio da accessi limitati ottenuti tramite phishing, macro nei documenti Office, compromissioni del browser o malware che gira in modalità utente. Da lì, con uno strumento come MiniPlasma, il salto al controllo totale della macchina diventa questione di pochi passaggi.
La frattura tra ricercatori e Microsoft si allarga
Dietro la pubblicazione di MiniPlasma c’è anche una questione delicata che riguarda il processo di divulgazione responsabile delle vulnerabilità. Nightmare-Eclipse accusa il Microsoft Security Response Center di aver ignorato o minimizzato diverse segnalazioni, e lo schema si era già visto con BlueHammer e RedSun. Il risultato è un effetto particolarmente pericoloso: exploit pubblici che circolano senza patch disponibili e senza mitigazioni ufficiali immediate.
Alcuni ricercatori di sicurezza sottolineano come il programma bug bounty di Microsoft tenda a penalizzare vulnerabilità considerate poco realistiche, salvo poi veder comparire exploit perfettamente funzionanti a distanza di mesi. La distanza tra chi sviluppa il sistema operativo e chi ne analizza quotidianamente le superfici di attacco sembra crescere. Per aziende, professionisti e utenti privati, il rischio maggiore oggi sta nella possibilità di concatenare vulnerabilità apparentemente locali: una semplice esecuzione di codice in modalità utente può trasformarsi rapidamente nel controllo completo del sistema operativo.
