Windows zero-day barrage post Patch Tuesday

Chaotic Eclipse ha divulgato tre nuove vulnerabilità zero-day per Windows dopo il Patch Tuesday di maggio 2026. Solo una delle sei falle del ciclo ha ricevuto…

Contenuto

Windows zero-day barrage post Patch Tuesday
Windows zero-day barrage post Patch Tuesday

Punti chiave

  • Il ricercatore Chaotic Eclipse ha divulgato sei flaw in sei settimane; solo BlueHammer (CVE-2026-33825) ha ricevuto patch ufficiale ed è nel catalogo CISA KEV.
  • YellowKey (CVE-2026-45585, CVSS 6.8) consente il bypass di BitLocker su Windows 11 e Windows Server 2025 tramite accesso fisico, USB e Windows Recovery Environment.
  • MiniPlasma sfrutta CVE-2020-17103 nel driver cldflt.sys: il patch rilasciato da Microsoft nel dicembre 2020 risulta inefficace e il PoC originale di Google Project Zero funziona ancora.
  • Microsoft ha rilasciato solo una mitigazione manuale per YellowKey, senza patch automatica per GreenPlasma, MiniPlasma e UnDefend.
  • Will Dormann ha confermato il funzionamento di MiniPlasma su Windows 11 con gli aggiornamenti di maggio 2026, con apertura di cmd.exe come SYSTEM.

Il ciclo di sei flaw in sei settimane

Nei giorni successivi al Patch Tuesday di maggio 2026, il ricercatore noto come Nightmare Eclipse ha divulgato tre nuove vulnerabilità zero-day per Windows. Le falle, denominate YellowKey, GreenPlasma e MiniPlasma, si aggiungono a un ciclo di sei disclosure in sei settimane che mette in discussione l'efficacia del patching su componenti critici come BitLocker e il driver cldflt.sys.

Il ricercatore, attivo anche con lo pseudonimo Chaotic Eclipse, ha pubblicato proof-of-concept e dettagli tecnici per ciascuna vulnerabilità. Secondo Christine Barry di Barracuda, tre exploit mirano alla privilege escalation, uno disabilita Defender, un altro bypassa BitLocker e uno espone una falla ritenuta patchata nel 2020 che resta però sfruttabile su Windows 11 aggiornato.

Microsoft ha dichiarato di essere a conoscenza delle vulnerabilità divulgate e di stare investigando sulla validità delle claim, ribadendo il supporto alla coordinated vulnerability disclosure. Nonostante ciò, al momento della pubblicazione solo BlueHammer dispone di una patch ufficiale rilasciata a aprile e inserita nel catalogo CISA KEV.

Il ciclo include anche BlueHammer, corretto e inserito nel catalogo CISA KEV a aprile, e RedSun, che sembra essere stata risolta silenziosamente senza CVE o advisory pubblico. UnDefend completa il gruppo delle falle ancora prive di patch.

YellowKey: accesso fisico e bypass di BitLocker

YellowKey, tracciata come CVE-2026-45585 con punteggio CVSS 6.8, sfrutta l’ambiente Windows Recovery Environment per bypassare la crittografia BitLocker. Un attaccante con accesso fisico alla macchina può utilizzare una chiave USB o una partizione EFI per caricare il file FsTx.

Dopo il riavvio in WinRE, la pressione del tasto CTRL genera una shell con accesso illimitato al volume cifrato, senza richiedere credenziali utente. La vulnerabilità interessa specificamente Windows 11 e Windows Server 2025, mettendo a rischio i dati at-rest su sistemi che si avvalgono esclusivamente del modulo TPM per lo sblocco del disco.

Microsoft ha confermato di essere a conoscenza del problema. In un advisory citato da The Hacker News, il vendor ha dichiarato: "Microsoft is aware of a security feature bypass vulnerability in Windows publicly referred to as 'YellowKey'... The proof of concept for this vulnerability has been made public, violating coordinated vulnerability best practices." Al momento non è disponibile una patch automatica, ma l’azienda ha indicato una mitigazione manuale che interviene sul valore BootExecute in WinRE.

"Three exploits target privilege escalation, one disables Defender's ability to detect threats, another bypasses BitLocker drive encryption, and one exposes a vulnerability that was said to be patched in 2020 but remains exploitable on fully updated Windows 11 systems today." — Christine Barry, Barracuda

MiniPlasma: il patch del 2020 che non risolve

MiniPlasma rappresenta un caso anomalo: non si tratta di una vulnerabilità inedita, bensì della riattivazione di CVE-2020-17103 nel driver Windows Cloud Files Mini Filter, noto come cldflt.sys. Microsoft aveva rilasciato un aggiornamento correttivo nel dicembre 2020, ma il ricercatore ha dimostrato che il Proof-of-Concept originale di Google Project Zero funziona senza alcuna modifica.

Chaotic Eclipse ha dichiarato di non essere certo che Microsoft non abbia mai corretto il problema o che la patch sia stata silenziosamente revocata per motivi ignoti. "I'm unsure if Microsoft just never patched the issue or the patch was silently rolled back at some point for unknown reasons. The original PoC by Google worked without any changes," ha affermato il ricercatore.

Will Dormann, analista di sicurezza indipendente, ha confermato che MiniPlasma consente di aprire un prompt cmd.exe con privilegi SYSTEM su Windows 11 con gli aggiornamenti di maggio 2026. Il test non ha invece avuto successo sulla build Insider Preview Canary, suggerendo che la falla potrebbe essere legata a componenti specifici delle versioni stabili.

Cosa fare adesso

Per YellowKey, Microsoft ha pubblicato una mitigazione manuale che richiede l’intervento diretto degli amministratori di sistema. È necessario rimuovere il file autofstx.exe dal valore BootExecute all’interno dell’hive del WinRE e migrare la configurazione BitLocker da TPM-only a TPM+PIN.

Questa transizione introduce un secondo fattore di sblocco che impedisce il completamento della catena di attacco anche qualora un aggressore riuscisse a modificare l’ambiente di ripristino. L’operazione deve essere replicata su ogni endpoint che gestisce dati sensibili e che utilizza la crittografia integrata di Windows.

Per MiniPlasma, non essendosi una patch disponibile, si raccomanda di monitorare l’esecuzione di processi figli generati da cldflt.sys e di applicare il principio del least privilege agli account utente standard. Inoltre, le organizzazioni dovrebbero segmentare l’accesso fisico ai dispositivi critici e pianificare cicli di verifica fuori banda sullo stato dei driver di sistema.

Infine, è opportuno iscrivere il catalogo CISA Known Exploited Vulnerabilities per tracciare almeno BlueHammer (CVE-2026-33825), l’unico elemento del ciclo con patch ufficiale, e verificare che la correzione sia effettivamente distribuita in tutti i sistemi aziendali. Il monitoraggio deve estendersi anche alle attività anomale sui driver cldflt.sys e sulle shell generate in WinRE.

GreenPlasma e le falle senza patch

GreenPlasma interessa Windows 10, Windows 11 e Windows Server e consente privilege escalation locale verso SYSTEM. Il PoC pubblicato dal ricercatore si ferma tuttavia prima dello stadio finale dell’exploit, lasciando incerta la portata completa dell’attacco su larga scala.

UnDefend rimane anch’essa senza patch ufficiale, mentre RedSun sembra essere stata risolta silenziosamente da Microsoft senza CVE o advisory pubblico, nonostante segni di exploit activity. YellowKey, GreenPlasma, MiniPlasma e UnDefend rimanevano tutte prive di correzione automatica al momento delle pubblicazioni.

BlueHammer rimane l’unica eccezione confermata: identificato come CVE-2026-33825, è stato patchato durante il Patch Tuesday di aprile 2026 ed è presente nel catalogo CISA KEV. La sua correzione rappresenta il punto di riferimento attuale per la gestione delle vulnerabilità del ciclo, mentre le altre cinque falle — comprese le tre nuove di maggio — attendono ancora una risposta definitiva da parte di Microsoft.

Il quadro complessivo mostra una catena di vulnerabilità che restano aperte nonostante la pubblicazione di codice exploit e la pressione del ricercatore. La mancanza di correzioni ufficiali per quattro delle sei falle evidenzia una criticità strutturale nel processo di gestione delle vulnerabilità su componenti fondamentali del sistema operativo.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews