MiniPlasma è il nome dell’ultimo exploit pubblicato da un ricercatore di sicurezza che si fa chiamare Chaotic Eclipse (noto anche come Nightmare Eclipse), e riguarda una vulnerabilità zero-day ancora presente in Windows 11. Il punto è tanto semplice quanto preoccupante: sfruttando questo exploit, è possibile ottenere privilegi SYSTEM su un sistema che dovrebbe essere protetto da una patch rilasciata oltre cinque anni fa. Eppure, a quanto pare, quella correzione non ha mai funzionato davvero su Windows 11.
Da BlueHammer a MiniPlasma: la serie di exploit contro Microsoft
Tutto è cominciato circa un mese fa, quando Chaotic Eclipse ha avviato quella che potremmo definire una campagna pubblica contro Microsoft. Il ricercatore sostiene di aver contattato l’azienda di Redmond senza ricevere risposte adeguate, e da quel momento ha iniziato a rilasciare codice sorgente di vari exploit. Il primo si chiamava BlueHammer, seguito poco dopo da RedSun. Entrambe le vulnerabilità sono state successivamente corrette, anche se RedSun non ha mai ricevuto un identificativo CVE ufficiale.
Poi è stata la volta di YellowKey, capace di aggirare la protezione di BitLocker, e di GreenPlasma, che come MiniPlasma consente di ottenere privilegi SYSTEM. Insomma, una escalation costante e piuttosto rumorosa nel mondo della sicurezza informatica.
Come funziona MiniPlasma e perché la vecchia patch non basta
Il cuore del problema sta nel driver Cloud Filter (cldflt.sys), un componente di Windows utilizzato per la sincronizzazione dei file locali con i servizi cloud. La vulnerabilità era stata individuata originariamente da James Forshaw del Google Project Zero alla fine del 2020, su Windows 10. All’epoca, l’exploit permetteva di aggiungere una chiave al registro di sistema, e Microsoft rilasciò una patch l’8 dicembre 2020.
Il fatto è che quella patch, secondo quanto verificato da Chaotic Eclipse, non funziona su Windows 11 Pro aggiornato con le patch di maggio 2025. Il ricercatore ha dimostrato che, utilizzando un semplice account utente standard e il suo exploit MiniPlasma, è riuscito ad aprire un prompt dei comandi con privilegi SYSTEM. Una falla aperta per oltre cinque anni, praticamente sotto gli occhi di tutti.
Un altro ricercatore, Will Dormann, ha confermato l’esistenza della vulnerabilità, aggiungendo però un dettaglio interessante: l’exploit non funziona con l’ultima build di Windows 11 disponibile nel canale Canary. Questo potrebbe significare che Microsoft ha finalmente incluso la correzione effettiva in una versione ancora in fase di test. Ma per chi usa le versioni stabili di Windows 11, il problema resta concreto.
Una patch che non ha mai protetto davvero Windows 11
La questione sollevata da MiniPlasma non riguarda solo un singolo exploit. Mette in evidenza un meccanismo più ampio: una vulnerabilità identificata nel 2020, una patch distribuita nello stesso anno, e un sistema operativo lanciato successivamente che non è mai stato realmente coperto da quella correzione. Windows 11 è arrivato nel 2021, eppure il driver Cloud Filter conteneva ancora la stessa falla. Chaotic Eclipse ha reso pubblico il codice sorgente dell’exploit, il che significa che chiunque abbia competenze sufficienti può replicare l’attacco su sistemi non ancora aggiornati con build del canale Canary. La correzione definitiva, ammesso che sia davvero presente in quella build, non è ancora disponibile per la maggior parte degli utenti.
