MiniPlasma bypassa le patch di Windows 11
WINDOWS — 19 Maggio 2026
👉 Un exploit chiamato MiniPlasma funziona su sistema aggiornato — anche con le patch di maggio 2026 installate. Un utente normale può ottenere i massimi privilegi di sistema in pochi secondi. Microsoft non ha ancora rilasciato una correzione.
Il 13 maggio 2026 — il giorno dopo il Patch Tuesday di maggio — un ricercatore di sicurezza noto come Chaotic Eclipse ha pubblicato su GitHub il codice di un exploit chiamato MiniPlasma. Il tempismo non è casuale: rilasciare un exploit il giorno dopo il ciclo di patch mensile significa lasciare le organizzazioni senza correzione ufficiale per almeno un mese. MiniPlasma permette a qualsiasi utente con accesso locale a un PC Windows 11 di ottenere privilegi SYSTEM — il livello di accesso più elevato in Windows — in pochi secondi. Il lato più inquietante: funziona su macchine completamente aggiornate con tutte le patch di maggio 2026 installate. BleepingComputer lo ha testato e confermato.
⚡ MiniPlasma — dati ufficiali:
📅 Pubblicato: 13 maggio 2026 su GitHub da Chaotic Eclipse (alias Nightmare-Eclipse)
🎯 Vulnerabilità: CVE-2020-17103 — segnalata nel 2020, dichiarata corretta, ancora presente
🔴 Effetto: privilegi SYSTEM da account utente standard — accesso completo al sistema
💻 Sistemi colpiti: Windows 11 Pro — confermato con patch maggio 2026
✅ Eccezione: non funziona su Windows 11 Insider Preview Canary build
🛡️ Patch ufficiale: non ancora disponibile — attesa al Patch Tuesday di giugno 2026
⚠️ Tipo di accesso richiesto: locale — non remoto
- ✔️ Cos'è MiniPlasma e perché è diverso dagli exploit normali
- ✔️ Come funziona tecnicamente — senza termini incomprensibili
- ✔️ Chi è Chaotic Eclipse e perché sta rilasciando exploit in serie
- ✔️ La serie BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma
- ✔️ Sei a rischio? La risposta onesta
- ✔️ Cosa fare adesso mentre aspetti la patch Microsoft
La cosa che mi ha colpito di più leggendo la notizia: questa non è una vulnerabilità nuova. CVE-2020-17103 è stata segnalata sei anni fa da un ricercatore di Google Project Zero. Microsoft aveva dichiarato di averla corretta nel dicembre 2020. Evidentemente non lo ha fatto — o la patch è stata rimossa silenziosamente ad un certo punto. Chaotic Eclipse ha usato il codice originale senza modifiche e ha funzionato.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | 19 maggio 2026
Fonti: BleepingComputer, HardwareUpgrade, CyberSecurityNews — 18-19 maggio 2026
→ BleepingComputer ha testato MiniPlasma su un Windows 11 Pro aggiornato con le patch di maggio 2026: partendo da un account utente standard, l'exploit ha aperto una shell con privilegi SYSTEM — Fonte: BleepingComputer, 18 maggio 2026
→ Will Dormann, principal vulnerability analyst di Tharros, ha confermato il funzionamento sulla versione pubblica più recente di Windows 11 — ha segnalato che non funziona solo sulle build Insider Canary — Fonte: BleepingComputer
→ Il ricercatore Chaotic Eclipse ha pubblicato codice sorgente ed eseguibile compilato su GitHub il 13 maggio 2026, giorno dopo il Patch Tuesday — Fonte: CyberSecurityNews, 18 maggio 2026
→ La vulnerabilità originale CVE-2020-17103 era stata segnalata da James Forshaw di Google Project Zero nel settembre 2020 — Fonte: HardwareUpgrade, 18 maggio 2026
→ Il repository GitHub di MiniPlasma aveva già accumulato oltre 390 stelle pochi giorni dopo la pubblicazione — segnale di diffusione rapida nella community — Fonte: CyberSecurityNews
Ho letto il report tecnico di BleepingComputer, l'analisi di HardwareUpgrade e CyberSecurityNews, e la segnalazione originale di Google Project Zero su CVE-2020-17103. Ho letto e verificato i report pubblicati da BleepingComputer, le conferme di Will Dormann su Mastodon e la segnalazione originale di James Forshaw su Google Project Zero. Ho controllato il repository GitHub di MiniPlasma per capire il contesto della disclosure.
→ Cos'è MiniPlasma — il punto di partenza
→ Come funziona tecnicamente — senza termini incomprensibili
→ Chi è Chaotic Eclipse — e la serie di exploit precedenti
→ Sei a rischio? La risposta onesta
→ Il problema più grande: la storia di CVE-2020-17103
→ Cosa fare adesso
→ La posizione di Microsoft
Cos'è MiniPlasma — il punto di partenza
MiniPlasma è un exploit di privilege escalation. In italiano: una tecnica per ottenere permessi più alti di quelli che si hanno. Semplice da spiegare — meno semplice da correggere. In questo caso specifico: da utente normale a SYSTEM, il livello di accesso più alto in Windows, quello usato dal sistema operativo stesso per le operazioni più critiche.
Non è un virus. Non si installa automaticamente. Non arriva via email o tramite un link. MiniPlasma richiede accesso locale al PC — qualcuno deve già trovarsi fisicamente davanti alla macchina, o avere già ottenuto una qualche forma di accesso limitato tramite phishing o malware. È questo il punto che distingue MiniPlasma da un attacco remoto: non può colpirti mentre navighi su internet da solo.
Detto questo — il rischio è reale. Soprattutto in ambienti aziendali, dove spesso le intrusioni iniziano con un accesso limitato e poi si espandono. Un dipendente con account utente standard che esegue MiniPlasma ottiene accesso amministrativo completo al PC, e da lì può muoversi su tutta la rete.
Se usi Windows 11 a casa da solo, il rischio diretto di MiniPlasma è basso — a meno che qualcuno non abbia già accesso fisico al tuo PC. Se lavori in un'azienda con decine o centinaia di PC, il rischio è molto più concreto: basta che un malware entri tramite una email di phishing per poi usare MiniPlasma per scalare i privilegi.
Verifica effettuata il 19 maggio 2026
| Parametro | Valore rilevato |
|---|---|
| Versione Windows | Windows 11 Pro 24H2 — Build 26100 |
| Patch maggio 2026 installate | ✅ Sì — Patch Tuesday 13 maggio |
| Windows Defender attivo | ✅ Sì — definizioni aggiornate |
| SmartScreen | ✅ Attivo |
| Aggiornamenti pendenti in Windows Update | Nessuno — sistema aggiornato |
| Vulnerabile a MiniPlasma | ❌ Sì — confermato da BleepingComputer e Dormann |
Configurazione testata da BleepingComputer su Windows 11 Pro — confermata da Will Dormann, Tharros. 18-19 maggio 2026.
Windows Update: nessun aggiornamento pendente — patch maggio 2026 installate. Sistema aggiornato ma vulnerabile a MiniPlasma.
Come funziona tecnicamente — senza termini incomprensibili
Il problema è nel Cloud Filter driver di Windows — il componente che gestisce la sincronizzazione con OneDrive e altri servizi cloud. È un driver che gira in modalità kernel, il livello più basso e privilegiato del sistema operativo.
La race condition
MiniPlasma sfrutta una race condition — in italiano, una condizione di gara. Significa che l'exploit approfitta di un momento preciso in cui due operazioni avvengono quasi contemporaneamente nel sistema e interferiscono tra loro. È come approfittare di una porta che si apre per una frazione di secondo mentre il sistema sta facendo qualcos'altro.
In quel momento di apertura, MiniPlasma riesce a creare chiavi di registro nell'area .DEFAULT user hive — un'area normalmente accessibile solo al sistema — senza i normali controlli di sicurezza. Da lì, il percorso verso SYSTEM è aperto.
Perché non funziona al 100%
Essendo una race condition, il successo non è garantito al primo tentativo su ogni macchina. Dipende da quanti core ha il processore e da come il sistema stia gestendo altri processi in quel momento. Sui sistemi multi-core moderni — che sono praticamente tutti — funziona in modo sufficientemente affidabile da rappresentare un rischio reale.
Perché OneDrive c'entra
Il Cloud Filter driver è integrato in Windows per supportare la sincronizzazione cloud — non solo OneDrive, ma qualsiasi servizio che usa il framework Cloud Files API di Microsoft. Significa che il codice vulnerabile gira su praticamente tutti i PC Windows 11 moderni, indipendentemente da se stai usando OneDrive o no.
Chi è Chaotic Eclipse — e la serie di exploit precedenti
MiniPlasma non è un caso isolato. MiniPlasma rappresenta l'ultimo capitolo di una massiccia campagna di disclosure non coordinata avviata dal ricercatore nelle ultime settimane.
Chaotic Eclipse — conosciuto anche come Nightmare-Eclipse — ha rilasciato una serie di exploit Windows nell'arco di poche settimane:
| Nome exploit | Data | Effetto | Stato patch |
|---|---|---|---|
| BlueHammer | Aprile 2026 | Privilege escalation — CVE-2026-33825 | ✅ Patchato |
| RedSun | Aprile 2026 | Privilege escalation su Windows Defender | ⚠️ Silenziosamente |
| UnDefend | Aprile 2026 | Blocca aggiornamenti definizioni Defender | ❌ Nessuna patch |
| YellowKey | Maggio 2026 | Bypass BitLocker su TPM-only config | ❌ Nessuna patch |
| GreenPlasma | Maggio 2026 | Privilege escalation CTFMON framework | ❌ Nessuna patch |
| MiniPlasma | 13 maggio 2026 | Privilegi SYSTEM — CVE-2020-17103 reviviscente | ❌ Nessuna patch |
Fonte: BleepingComputer, HardwareUpgrade, CyberSecurityNews — maggio 2026
Perché Chaotic Eclipse sta facendo questo
Il ricercatore è esplicito: sta protestando contro il programma bug bounty di Microsoft e contro come l'azienda gestisce le segnalazioni di vulnerabilità. Chaotic Eclipse afferma che "il problema esatto riportato a Microsoft da Google Project Zero è ancora presente, non patchato" e di non sapere "se Microsoft non abbia mai applicato la patch o se sia stata silenziosamente rimossa ad un certo punto per ragioni ignote."
Che si condivida o meno il metodo, è una scelta controversa. Ma BlueHammer — il primo della serie — è stato sfruttato attivamente in attacchi reali poco dopo la pubblicazione. Quindi il rischio non è teorico. È già successo.
Sei a rischio? La risposta onesta
Dipende da come usi il PC — e soprattutto da cosa è già successo sul sistema prima che MiniPlasma venisse pubblicato.
Il punto che quasi nessuno dice chiaramente: MiniPlasma da solo non entra nel tuo PC mentre navighi. Ha bisogno di un punto di accesso iniziale.
La cosa curiosa è che molte persone leggendo "zero-day" pensano immediatamente a un attacco remoto — qualcosa che ti colpisce mentre sei connesso a internet senza fare nulla. In realtà MiniPlasma funziona diversamente: è più simile a un acceleratore usato dopo una compromissione iniziale. Prima entra qualcosa — phishing, una macro, un file scaricato — poi quella cosa usa MiniPlasma per ottenere i permessi massimi. Sono due passaggi distinti. Il secondo è ora molto più facile grazie al codice pubblico su GitHub.
In ambienti enterprise questo schema è documentato da anni. Un malware entra con i permessi minimi dell'utente che l'ha eseguito. Poi usa uno strumento di privilege escalation per diventare amministratore o SYSTEM. Da lì, può disabilitare il Defender, installare un ransomware, esfiltrare dati — tutto senza che l'utente originale si accorga di nulla.
Il problema con MiniPlasma è che questo secondo passaggio — l'escalation — è ora disponibile in forma di exploit funzionante e pubblico su GitHub, con 390+ stelle. Non è più necessario essere esperti per usarlo.
In molte PMI italiane il problema potrebbe essere sottovalutato per un motivo semplice: spesso gli utenti lavorano ancora con account amministratore attivo di default. In quel caso MiniPlasma è quasi superfluo — l'attaccante ha già i permessi che gli servono. Ma il rischio si moltiplica nelle organizzazioni che credono di essere protette perché hanno applicato le patch mensili.
RedSun — uno degli exploit precedenti di Chaotic Eclipse — è stato sfruttato attivamente in attacchi reali poco dopo la pubblicazione. Questo non è speculazione: BleepingComputer ha documentato i casi. Il pattern è chiaro: quando un exploit funzionante viene pubblicato su GitHub, qualcuno lo usa. In questo caso, MiniPlasma è disponibile da una settimana con 390+ stelle su GitHub.
Il problema più grande: la storia di CVE-2020-17103
Questa è la parte che mi disturba di più. E che merita attenzione al di là della notizia in sé.
CVE-2020-17103 è stata segnalata nel settembre 2020 da James Forshaw di Google Project Zero — uno dei ricercatori di sicurezza più riconosciuti al mondo. Microsoft ha classificato la vulnerabilità, le ha assegnato un CVE e ha dichiarato di averla corretta nel Patch Tuesday di dicembre 2020.
Dopo aver letto la segnalazione originale di Forshaw, la parte più sorprendente è che il comportamento descritto nel 2020 coincide quasi perfettamente con quello mostrato oggi da MiniPlasma. Non è una variante. Non è un'evoluzione. È lo stesso identico codice — come conferma Chaotic Eclipse nel repository: "il PoC originale di Google ha funzionato senza alcuna modifica".
Questo è il problema più strutturale: non la vulnerabilità in sé — quelle ci sono sempre — ma il fatto che una vulnerabilità dichiarata corretta da sei anni risulti ancora sfruttabile. È una situazione che mina la fiducia nel processo di patch management di Microsoft.
💡 Per capire perché gli aggiornamenti di sicurezza sono critici su qualsiasi sistema operativo, leggi la guida su Android non aggiornato: cosa rischi nel 2026 — il principio è lo stesso.
Cosa fare adesso — mentre aspetti la patch
Non c'è una correzione immediata disponibile. La patch ufficiale arriverà probabilmente con il Patch Tuesday di giugno 2026. Nel frattempo, ci sono misure concrete che riducono il rischio.
1. Applica immediatamente tutte le patch disponibili
MiniPlasma funziona su Windows 11 aggiornato — ma questo non significa che ignorare gli aggiornamenti sia una strategia. Tutte le altre vulnerabilità corrette nelle patch di maggio 2026 restano importanti. Mantieni Windows aggiornato anche aspettando la patch specifica per MiniPlasma.
2. Principio del privilegio minimo
Non usare un account amministratore per il lavoro quotidiano — usa un account utente standard. Se MiniPlasma richiede già accesso locale, partire da un account con meno privilegi rende comunque più difficile l'escalation in certi scenari concatenati.
3. Attenzione ai link e agli allegati email
MiniPlasma da solo non basta — serve che qualcuno abbia già accesso al PC. Il vettore di accesso più comune resta il phishing. Una email con un allegato Word che esegue una macro, un link che scarica un file eseguibile — sono questi i punti di ingresso che poi potrebbero usare MiniPlasma come secondo step.
4. Endpoint Detection and Response (ambienti aziendali)
L'obiettivo non è solo reagire dopo l'incidente, ma limitare le condizioni che permettono a un attaccante di arrivare fino alla fase di escalation. Gli strumenti EDR possono rilevare comportamenti anomali associati all'escalation di privilegi — anche prima che la patch sia disponibile.
5. Monitora il repository GitHub
Il codice di MiniPlasma è pubblico. Significa che chiunque può testarlo — inclusi i team di sicurezza. Se gestisci infrastrutture Windows, vale la pena tenere d'occhio il repository per aggiornamenti sulla varianti e sul comportamento dell'exploit.
MiniPlasma non funziona sulle build Windows 11 Insider Preview Canary — il canale di test più avanzato di Microsoft. Questo suggerisce che una correzione interna esiste già nei laboratori Microsoft. Il problema è quanto tempo ci vorrà prima che arrivi sui sistemi pubblici nel ciclo di patch standard.
La posizione di Microsoft
Microsoft non ha rilasciato un commento specifico su MiniPlasma. L'azienda è attesa a fornire chiarimenti una volta completate le indagini interne. In precedenza, in risposta alla serie di exploit di Chaotic Eclipse, Microsoft aveva dichiarato a BleepingComputer che "sostiene la divulgazione coordinata delle vulnerabilità come pratica ampiamente adottata nel settore".
È una risposta diplomatica che non risponde alla domanda principale: perché CVE-2020-17103 — dichiarata corretta nel 2020 — è ancora sfruttabile nel 2026?
Onestamente, mi aspetto una patch nel Patch Tuesday di giugno 2026. Il fatto che l'exploit non funzioni sulle build Insider Canary conferma che Microsoft è già al lavoro internamente. Ma l'assenza di un comunicato esplicito su una vulnerabilità con exploit pubblico e funzionante — dopo una settimana — è una scelta che lascia molti amministratori di sistema senza indicazioni chiare.
Ed è proprio questo il dettaglio più inquietante: molti utenti penseranno di essere protetti perché Windows Update non mostra aggiornamenti disponibili. Il sistema dice che va tutto bene. Nel frattempo, MiniPlasma funziona.
Se lavori in un'azienda con PC Windows — o conosci chi li gestisce — questa è una notizia da sapere adesso.
👉 Android non aggiornato: cosa rischi →
👉 Tutte le guide Privacy e Sicurezza su ScelgoIo →
Se stai cercando informazioni su MiniPlasma: è un exploit zero-day che funziona su sistema aggiornato, sfrutta una vulnerabilità del 2020 dichiarata corretta ma ancora presente, e permette a qualsiasi utente locale di ottenere i massimi privilegi di sistema. Non c'è ancora una patch ufficiale — attesa a giugno 2026.
Ultima verifica: 19 maggio 2026. Situazione patch in aggiornamento — monitorare il Patch Tuesday di giugno 2026.
Domande frequenti — MiniPlasma Windows 2026
Autore: Rocco Caiazza – Fondatore di ScelgoIo
