Prima di procedere
Il panorama della sicurezza informatica mondiale è stato scosso nelle ultime ore da una rivelazione che mette in discussione la stabilità del sistema operativo più diffuso al mondo. Un ricercatore indipendente, noto nell'ambiente underground con lo pseudonimo di Chaotic Eclipse, ha reso pubblico su GitHub un exploit sperimentale denominato MiniPlasma. Questo strumento è in grado di sfruttare una vulnerabilità zero-day critica all'interno di Windows, permettendo a un utente malintenzionato di ottenere privilegi SYSTEM, ovvero il massimo livello di accesso amministrativo possibile, su macchine considerate fino a oggi totalmente protette e aggiornate alle ultime patch di sicurezza. L'aspetto più inquietante della vicenda è che, secondo quanto dichiarato dall'autore, la falla originaria risalirebbe addirittura al 2020 e non sarebbe mai stata risolta da Microsoft, nonostante le numerose segnalazioni avvenute nel corso degli anni.
La portata della minaccia è stata confermata da test indipendenti condotti da testate autorevoli come BleepingComputer, che ha verificato il funzionamento di MiniPlasma su una build di Windows 11 Pro aggiornata con le patch rilasciate a maggio 2026. I risultati sono stati inequivocabili: partendo da un account utente standard senza autorizzazioni particolari, l'exploit è riuscito ad aprire una riga di comando con poteri SYSTEM in pochi secondi. Anche Will Dormann, noto analista di vulnerabilità presso la società Tharros, ha convalidato i risultati, confermando che il bug è reale e sfruttabile. Tuttavia, Dormann ha aggiunto un dettaglio tecnico rilevante, sottolineando che l'exploit non sembra replicarsi correttamente sulla versione Insider Preview Canary, il che suggerisce che Microsoft stia testando una correzione silenziosa in una versione del kernel non ancora distribuita al grande pubblico.
Dal punto di vista tecnico, MiniPlasma agisce sulle vulnerabilità strutturali della gestione delle chiavi di registro. Nello specifico, l'exploit manipola il driver cldflt.sys (il Cloud Files Mini Filter Driver) attraverso una API non documentata denominata CfAbortHydration. Questo meccanismo permette di creare chiavi di registro arbitrarie all'interno del ramo .DEFAULT senza che il sistema effettui i necessari controlli di autorizzazione. In questo modo, un attaccante può iniettare comandi o modificare configurazioni critiche che vengono poi eseguite dal sistema con i privilegi massimi. La facilità con cui è possibile aggirare le difese di Windows 11 e Windows Server 2022/2025 evidenzia una lacuna profonda nell'architettura di sicurezza dei driver di sistema, un problema che Microsoft sembra aver trascurato per oltre un lustro.
L'uscita di MiniPlasma non è un evento isolato, ma rappresenta l'apice di una vera e propria offensiva condotta da Chaotic Eclipse nelle ultime settimane del 2026. Il ricercatore ha infatti dato il via a una serie di leak iniziati ad aprile con BlueHammer (identificato come CVE-2026-33825), seguito da RedSun e dallo strumento di negazione del servizio UnDefend, progettato specificamente per mandare in crash Windows Defender. Queste vulnerabilità sono state già rilevate in attacchi reali, indicando che i gruppi criminali sono pronti a capitalizzare immediatamente su queste scoperte. A maggio, la situazione è peggiorata ulteriormente con il rilascio di YellowKey, un exploit capace di bypassare la crittografia BitLocker su Windows 11, e GreenPlasma, un altro strumento di escalation dei privilegi.
La pubblicazione del codice sorgente completo e di un file binario già compilato su GitHub ha sollevato un dibattito etico feroce. Da un lato, Chaotic Eclipse sostiene che la divulgazione pubblica sia l'unico modo per costringere il colosso di Redmond ad agire dopo anni di inattività; dall'altro, gli amministratori di sistema di tutto il mondo si trovano ora a dover fronteggiare una minaccia per la quale non esiste ancora una patch ufficiale. La preoccupazione è alta soprattutto nei settori aziendali e governativi, dove il ritardo nell'applicazione delle correzioni potrebbe portare a massicce esfiltrazioni di dati. Nel 2026, con una dipendenza sempre maggiore dalle infrastrutture cloud integrate in Windows, la sicurezza del driver cldflt.sys è diventata un punto di rottura critico. Gli esperti suggeriscono di monitorare attentamente le attività sospette sul registro di sistema e di limitare l'uso di account utente con accesso a file cloud fino a quando Microsoft non rilascerà un bollettino di sicurezza risolutivo.
In conclusione, il caso MiniPlasma mette a nudo la fragilità dei moderni sistemi operativi di fronte a debiti tecnici accumulati per anni. Mentre la comunità dei ricercatori attende una risposta ufficiale da Microsoft, il rischio di un'ondata di attacchi informatici su scala globale rimane estremamente elevato. La velocità con cui questi exploit vengono resi disponibili e la loro efficacia su sistemi pienamente aggiornati segnano un momento di crisi per la difesa cibernetica tradizionale, imponendo una revisione totale dei processi di patching e di gestione delle vulnerabilità zero-day nel 2026 e oltre. Le prossime settimane saranno decisive per capire se il gigante tecnologico riuscirà a chiudere queste falle prima che vengano sfruttate da attori statali o gruppi ransomware per colpire le infrastrutture critiche internazionali.
