Bypass fisico di BitLocker e zero-day post-patch: la nuova offensiva su Windows

Bypass fisico di BitLocker e zero-day post-patch: la nuova offensiva su Windows

La finestra di sicurezza garantita dal Patch Tuesday di maggio 2026 si è chiusa bruscamente a poche ore dal rilascio degli aggiornamenti ufficiali. Tra il 18 e il 20 maggio, il ricercatore noto come Nightmare Eclipse (o Chaotic Eclipse) ha sferrato un nuovo colpo all'ecosistema Microsoft, divulgando i dettagli tecnici di tre vulnerabilità zero-day battezzate YellowKey, GreenPlasma e MiniPlasma. L'attacco più inquietante riguarda la possibilità di neutralizzare la crittografia BitLocker attraverso un semplice accesso fisico e l'uso di un dispositivo USB appositamente configurato.

La campagna di Nightmare Eclipse ha raggiunto una cadenza senza precedenti: sono 6 le vulnerabilità zero-day totali divulgate nelle ultime 6 settimane, evidenziando una pressione costante sui componenti critici di Windows.

Questa strategia di divulgazione non appare casuale, ma sembra riflettere una scelta analitica volta a massimizzare l'esposizione dei sistemi. Pubblicando exploit funzionanti immediatamente dopo il ciclo di patching mensile, il ricercatore garantisce che le falle rimangano prive di una correzione ufficiale per quasi un intero mese. Questa "finestra di impunità" mette le organizzazioni in una posizione difensiva precaria, costringendole a ricorrere a mitigazioni manuali mentre attendono la risposta del vendor.

Al momento, Microsoft non ha rilasciato advisory ufficiali o patch correttive per questo nuovo trittico di falle. Tuttavia, l'attenzione è massima: la precedente vulnerabilità BlueHammer (CVE-2026-33825), parte della medesima campagna, è stata già inserita nel catalogo Known Exploited Vulnerabilities (KEV) della CISA, confermando che il lavoro di Nightmare Eclipse ha un impatto diretto e operativo sulla sicurezza globale.

YellowKey: il bypass strutturale di BitLocker tramite USB

La vulnerabilità YellowKey rappresenta un colpo durissimo alla percezione di sicurezza dei dati "at rest" su piattaforma Windows. Secondo le analisi condotte dagli esperti di LevelBlue, la falla potrebbe consentire a qualsiasi malintenzionato dotato di accesso fisico e di un dispositivo USB di neutralizzare la crittografia BitLocker, ottenendo un accesso illimitato ai laptop aziendali in tempi estremamente ridotti. La tecnica non richiede il possesso di credenziali utente, la conoscenza del PIN o il bypass del modulo TPM (Trusted Platform Module).

Il meccanismo tecnico sfrutta la gestione dei file transazionali NTFS (FsTx) su volumi esterni durante il processo di avvio. L'attaccante può indurre il sistema a entrare nel Windows Recovery Environment (WinRE) e, manipolando i file sulla chiavetta USB, forzare lo sblocco automatico del volume crittografato. Questo espone l'intero file system a operazioni di lettura e scrittura, rendendo di fatto inutile la protezione offerta da BitLocker in scenari di smarrimento o furto del dispositivo.

L'efficacia di YellowKey è stata confermata dal ricercatore indipendente Will Dormann, che è riuscito a riprodurre l'attacco ottenendo un prompt dei comandi con privilegi elevati e disco sbloccato invece del canonico ambiente di ripristino. Questo risultato valida la pericolosità immediata della falla, che non è più un'ipotesi teorica ma un rischio concreto per chiunque abbia accesso fisico alla macchina.

GreenPlasma: scalata ai privilegi tramite CTFMON

GreenPlasma si focalizza invece sull'escalation dei privilegi locali (LPE), colpendo il componente Collaborative Translation Framework (CTFMON). Questo processo, responsabile della gestione dei metodi di input e delle tecnologie assistive, presenta una debolezza nella creazione arbitraria di sezioni di memoria. Un utente con privilegi limitati potrebbe sfruttare questa lacuna per creare sezioni in oggetti directory scrivibili esclusivamente dal sistema (SYSTEM), facilitando l'esecuzione di codice non autorizzato.

Sebbene Nightmare Eclipse abbia pubblicato un proof-of-concept, lo ha descritto come tecnicamente incompleto per quanto riguarda l'automazione finale dell'attacco. A differenza di YellowKey, GreenPlasma richiede un intervento manuale più sofisticato per essere trasformato in un exploit pronto all'uso. Ciononostante, la vulnerabilità resta critica poiché il componente CTFMON è integrato profondamente in Windows 10, 11 e nelle versioni Server, rendendo la falla difficile da mitigare senza compromettere l'usabilità del sistema.

In un contesto di attacco a catena, GreenPlasma potrebbe essere utilizzato come secondo stadio: dopo aver ottenuto un accesso iniziale a bassa priorità tramite phishing o altri vettori, l'attaccante userebbe questa vulnerabilità per assumere il controllo totale del server o della workstation, bypassando ogni restrizione di sicurezza locale.

MiniPlasma: il ritorno della falla CVE-2020-17103

Il caso MiniPlasma solleva dubbi preoccupanti sulla qualità del processo di patching a lungo termine di Microsoft. La vulnerabilità colpisce il driver Cloud Files Mini Filter (cldflt.sys) ed è essenzialmente una riproposizione della CVE-2020-17103, segnalata originariamente da Google Project Zero nel 2020. Nonostante Microsoft avesse rilasciato una patch all'epoca, Nightmare Eclipse sostiene che l'exploit originale funzioni ancora oggi senza alcuna modifica sui sistemi Windows 11 aggiornati a maggio 2026.

"Non sono sicuro se Microsoft non abbia mai corretto realmente il problema o se la patch sia stata silenziosamente rimossa a un certo punto per ragioni ignote", ha dichiarato il ricercatore. Will Dormann ha parzialmente confermato questa tesi, dimostrando che il PoC permette di ottenere una shell SYSTEM su build stabili e aggiornate di Windows 11. Un dettaglio tecnico rilevante, tuttavia, bilancia la minaccia: MiniPlasma non sembra funzionare sulle versioni Insider Preview Canary, suggerendo che una mitigazione potrebbe essere attualmente in fase di test nei rami sperimentali.

Questa persistenza del bug indica una possibile regressione nel codice o un'implementazione incompleta della correzione originale. Per le aziende, questo significa che l'applicazione degli aggiornamenti mensili potrebbe non essere sufficiente a garantire la protezione contro minacce note da anni, richiedendo un ulteriore livello di monitoraggio comportamentale sui driver di sistema.

Cosa fare adesso

In assenza di patch ufficiali, le organizzazioni devono adottare contromisure basate sulla protezione degli asset fisici e sul monitoraggio dell'integrità del sistema. La priorità deve essere data alla neutralizzazione del vettore USB, il più semplice da sfruttare.

• Protezione dell'accesso fisico: Per mitigare YellowKey, è essenziale disabilitare l'avvio da periferiche esterne (USB/DVD) nelle impostazioni BIOS/UEFI, proteggendo l'accesso al firmware con una password robusta. Si consiglia inoltre di monitorare i log di sistema per individuare accessi anomali all'ambiente WinRE.
• Monitoraggio dei driver: Data la pericolosità di MiniPlasma, gli amministratori di sistema dovrebbero implementare regole di monitoraggio specifiche per il driver cldflt.sys. Eventuali crash sospetti o tentativi di esecuzione di codice associati a questo componente devono essere trattati come potenziali tentativi di escalation dei privilegi.
• Audit di BitLocker: È opportuno verificare le configurazioni di BitLocker tramite Group Policy. L'adozione di un PIN di pre-avvio, in aggiunta alla protezione TPM, può fornire un ulteriore strato di difesa contro gli attacchi basati sull'accesso fisico che sfruttano l'ambiente di ripristino.
• Preparazione al Patch Tuesday di giugno: Considerando la prolificità di Nightmare Eclipse, le aziende devono preparare i propri team IT a un ciclo di aggiornamenti straordinario per il mese prossimo, dando priorità al testing degli update che coinvolgeranno la gestione dei privilegi e il kernel.

Perché è importante

L'analisi di Bruce Schneier e di altri esperti del settore evidenzia come vulnerabilità come YellowKey mettano a nudo i limiti strutturali di BitLocker quando configurato in modalità TPM-only. Senza un secondo fattore di autenticazione (come un PIN), la fiducia riposta esclusivamente nell'hardware del computer si rivela fragile se l'attaccante può manipolare l'ambiente di avvio. Questo dimostra che la sicurezza non è un prodotto statico, ma un processo dinamico che richiede una difesa in profondità.

La serie di scoperte di Nightmare Eclipse mette in discussione l'efficacia stessa delle "patch storiche". Se un bug del 2020 può ancora garantire privilegi SYSTEM su un sistema del 2026, il modello di fiducia verso il patching centralizzato ne esce indebolito. Le organizzazioni devono comprendere che la crittografia da sola non è una garanzia assoluta se l'ambiente di contorno può essere manipolato con facilità.

In chiusura, la promessa del ricercatore di una "grande sorpresa" per il Patch Tuesday di giugno 2026 lascia presagire che la campagna non sia affatto conclusa. Questo cliffhanger editoriale sottolinea la necessità di passare da una sicurezza reattiva a una postura proattiva. La trasparenza del vendor sarà fondamentale nelle prossime settimane: senza l'assegnazione di nuove CVE e advisory dettagliati, i difensori rimarranno in balia di exploit pubblici capaci di bypassare pilastri della sicurezza che fino a ieri erano considerati inviolabili.

Le informazioni contenute in questo articolo si basano sui dati disponibili al 20 maggio 2026 e sulle verifiche effettuate da ricercatori indipendenti. Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.darkreading.com/cyberattacks-data-breaches/windows-zero-day-barrage-continues-after-patch-tuesday
• https://thehackernews.com/2026/05/miniplasma-windows-0-day-enables-system.html
• https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.html
• https://www.schneier.com/blog/archives/2026/05/zero-day-exploit-against-windows-bitlocker.html
• https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/