MiniPlasma: nuova vulnerabilità zero-day di Windows 11

Il ricercatore noto come Chaotic Eclipse o Nightmare Eclipse ha pubblicato il codice sorgente di un nuovo exploit che sfrutta una vulnerabilità zero-day di Windows 11. Il suo è MiniPlasma e permette di ottenere i privilegi SYSTEM. Microsoft ha rilasciato la patch di sicurezza a fine 2020, ma il problema non è stato risolto.

MiniPlasma dopo GreenPlasma

Da circa un mese, Chaotic Eclipse ha iniziato la sua “vendetta” nei confronti di Microsoft, pubblicando il primo exploit BlueHammer. Il ricercatore afferma di aver contattato l’azienda di Redmond, ma non ha ricevuto una risposta soddisfacente. Pochi giorni dopo ha pubblicato il codice del secondo exploit RedSun. Entrambe le vulnerabilità sono state corrette (RedSun non ha un CVE).

Le più recenti sono YellowKey e GreenPlasma. La prima consente di aggirare la protezione di BitLocker. La seconda permette di ottenere privilegi SYSTEM.

Come si può intuire dal nome, anche l’exploit MiniPlasma consente di ottenere privilegi SYSTEM. La vulnerabilità è presente nel driver Cloud Filter (cldflt.sys) che viene usato per la sincronizzazione dei file locali con quelli di un servizio cloud. Era stata scoperta da James Forshaw del Google Project Zero a fine 2020 su Windows 10. L’exploit consentiva di aggiungere una chiave al registro.

Microsoft ha rilasciato la patch l’8 dicembre 2020, ma il ricercatore Chaotic Eclipse ha verificato che non funziona su Windows 11 Pro aggiornato con le patch di maggio. Usando un account utente standard e il suo exploit è riuscito ad aprire un prompt dei comandi con privilegi SYSTEM.

Un altro ricercatore (Will Dormann) ha confermato l’esistenza della vulnerabilità, specificando però che l’exploit non funziona con l’ultima build di Windows 11 disponibile nel canale Canary. Forse Microsoft ha incluso la “vera” patch (dopo oltre cinque anni).