Windows 11, pericolosa falla MiniPlasma fa capolino dal passato

Nelle scorse ore è emersa una nuova vulnerabilità zero-day di Windows 11 piuttosto pericolosa perché funziona anche su sistemi completamente aggiornati e permette di ottenere i permessi più elevati possibile, ovvero SYSTEM. Il ricercatore indipendente noto come Chaotic Eclipse, già noto per aver recentemente divulgato altri bug Windows chiamati YellowKey e GreenPlasma, ha pubblicato un exploit proof-of-concept che è stato verificato come funzionante e attendibile da altri ricercatori.

La falla, soprannominata MiniPlasma, si trova nel file cldflt.sys, che è il driver Cloud Files Mini Filter utilizzato da Windows, e nello specifico una routine interna chiamata “HsmOsBlockPlaceholderAccess”. Secondo quanto spiegato dal ricercatore, la vulnerabilità era stata inizialmente segnalata a Microsoft nel settembre 2020 da James Forshaw di Google Project Zero. All’epoca si riteneva che la società avesse corretto il problema attraverso l’aggiornamento di sicurezza identificato come CVE-2020-17103, distribuito a dicembre dello stesso anno. Tuttavia, l'exploit proof-of-concept sviluppato da Project Zero funziona ancora perfettamente, senza nemmeno un'alterazione nel codice. Non è chiaro se Microsoft non ha mai risolto la falla o se per qualsiasi ragione ha tolto la correzione in un secondo tempo.

Post by @wdormann@infosec.exchange

View on Mastodon

Per dimostrare l’impatto reale del bug, il ricercatore ha trasformato l’exploit in uno strumento capace di aprire una shell con privilegi SYSTEM, il livello di accesso più elevato disponibile in Windows. L’attacco sfrutta una race condition, quindi il tasso di successo potrebbe variare da sistema a sistema, ma i primi test sembrano confermare una certa affidabilità. Secondo il ricercatore, tutte le versioni del sistema operativo potrebbero essere vulnerabili.

CLICCA QUI PER CONTINUARE A LEGGERE