MiniPlasma bypassa le patch di Windows 11

MiniPlasma exploit Windows zero-day privilegi SYSTEM Windows 11 aggiornato 2026 ScelgoIo WINDOWS — 19 Maggio 2026

πŸ‘‰ Un exploit chiamato MiniPlasma funziona su sistema aggiornato — anche con le patch di maggio 2026 installate. Un utente normale puΓ² ottenere i massimi privilegi di sistema in pochi secondi. Microsoft non ha ancora rilasciato una correzione.

Il 13 maggio 2026 — il giorno dopo il Patch Tuesday di maggio — un ricercatore di sicurezza noto come Chaotic Eclipse ha pubblicato su GitHub il codice di un exploit chiamato MiniPlasma. Il tempismo non Γ¨ casuale: rilasciare un exploit il giorno dopo il ciclo di patch mensile significa lasciare le organizzazioni senza correzione ufficiale per almeno un mese. MiniPlasma permette a qualsiasi utente con accesso locale a un PC Windows 11 di ottenere privilegi SYSTEM — il livello di accesso piΓΉ elevato in Windows — in pochi secondi. Il lato piΓΉ inquietante: funziona su macchine completamente aggiornate con tutte le patch di maggio 2026 installate. BleepingComputer lo ha testato e confermato.

⚡ MiniPlasma — dati ufficiali:
πŸ“… Pubblicato: 13 maggio 2026 su GitHub da Chaotic Eclipse (alias Nightmare-Eclipse)
🎯 VulnerabilitΓ : CVE-2020-17103 — segnalata nel 2020, dichiarata corretta, ancora presente
πŸ”΄ Effetto: privilegi SYSTEM da account utente standard — accesso completo al sistema
πŸ’» Sistemi colpiti: Windows 11 Pro — confermato con patch maggio 2026
Eccezione: non funziona su Windows 11 Insider Preview Canary build
πŸ›‘️ Patch ufficiale: non ancora disponibile — attesa al Patch Tuesday di giugno 2026
⚠️ Tipo di accesso richiesto: locale — non remoto

  • ✔️ Cos'Γ¨ MiniPlasma e perchΓ© Γ¨ diverso dagli exploit normali
  • ✔️ Come funziona tecnicamente — senza termini incomprensibili
  • ✔️ Chi Γ¨ Chaotic Eclipse e perchΓ© sta rilasciando exploit in serie
  • ✔️ La serie BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma
  • ✔️ Sei a rischio? La risposta onesta
  • ✔️ Cosa fare adesso mentre aspetti la patch Microsoft

La cosa che mi ha colpito di piΓΉ leggendo la notizia: questa non Γ¨ una vulnerabilitΓ  nuova. CVE-2020-17103 Γ¨ stata segnalata sei anni fa da un ricercatore di Google Project Zero. Microsoft aveva dichiarato di averla corretta nel dicembre 2020. Evidentemente non lo ha fatto — o la patch Γ¨ stata rimossa silenziosamente ad un certo punto. Chaotic Eclipse ha usato il codice originale senza modifiche e ha funzionato.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | 19 maggio 2026

Fonti: BleepingComputer, HardwareUpgrade, CyberSecurityNews — 18-19 maggio 2026

πŸ“Š
I fatti documentati — fonti primarie verificabili:
BleepingComputer ha testato MiniPlasma su un Windows 11 Pro aggiornato con le patch di maggio 2026: partendo da un account utente standard, l'exploit ha aperto una shell con privilegi SYSTEM — Fonte: BleepingComputer, 18 maggio 2026
Will Dormann, principal vulnerability analyst di Tharros, ha confermato il funzionamento sulla versione pubblica piΓΉ recente di Windows 11 — ha segnalato che non funziona solo sulle build Insider Canary — Fonte: BleepingComputer
→ Il ricercatore Chaotic Eclipse ha pubblicato codice sorgente ed eseguibile compilato su GitHub il 13 maggio 2026, giorno dopo il Patch Tuesday — Fonte: CyberSecurityNews, 18 maggio 2026
→ La vulnerabilitΓ  originale CVE-2020-17103 era stata segnalata da James Forshaw di Google Project Zero nel settembre 2020 — Fonte: HardwareUpgrade, 18 maggio 2026
→ Il repository GitHub di MiniPlasma aveva giΓ  accumulato oltre 390 stelle pochi giorni dopo la pubblicazione — segnale di diffusione rapida nella community — Fonte: CyberSecurityNews
🧠
Come Γ¨ stato preparato questo articolo:
Ho letto il report tecnico di BleepingComputer, l'analisi di HardwareUpgrade e CyberSecurityNews, e la segnalazione originale di Google Project Zero su CVE-2020-17103. Ho letto e verificato i report pubblicati da BleepingComputer, le conferme di Will Dormann su Mastodon e la segnalazione originale di James Forshaw su Google Project Zero. Ho controllato il repository GitHub di MiniPlasma per capire il contesto della disclosure.
01

Cos'Γ¨ MiniPlasma — il punto di partenza

MiniPlasma Γ¨ un exploit di privilege escalation. In italiano: una tecnica per ottenere permessi piΓΉ alti di quelli che si hanno. Semplice da spiegare — meno semplice da correggere. In questo caso specifico: da utente normale a SYSTEM, il livello di accesso piΓΉ alto in Windows, quello usato dal sistema operativo stesso per le operazioni piΓΉ critiche.

Non Γ¨ un virus. Non si installa automaticamente. Non arriva via email o tramite un link. MiniPlasma richiede accesso locale al PC — qualcuno deve giΓ  trovarsi fisicamente davanti alla macchina, o avere giΓ  ottenuto una qualche forma di accesso limitato tramite phishing o malware. È questo il punto che distingue MiniPlasma da un attacco remoto: non puΓ² colpirti mentre navighi su internet da solo.

Detto questo — il rischio Γ¨ reale. Soprattutto in ambienti aziendali, dove spesso le intrusioni iniziano con un accesso limitato e poi si espandono. Un dipendente con account utente standard che esegue MiniPlasma ottiene accesso amministrativo completo al PC, e da lΓ¬ puΓ² muoversi su tutta la rete.

πŸ’‘
La differenza che conta per te utente normale:
Se usi Windows 11 a casa da solo, il rischio diretto di MiniPlasma Γ¨ basso — a meno che qualcuno non abbia giΓ  accesso fisico al tuo PC. Se lavori in un'azienda con decine o centinaia di PC, il rischio Γ¨ molto piΓΉ concreto: basta che un malware entri tramite una email di phishing per poi usare MiniPlasma per scalare i privilegi.

Verifica effettuata il 19 maggio 2026

Parametro Valore rilevato
Versione Windows Windows 11 Pro 24H2 — Build 26100
Patch maggio 2026 installate ✅ SΓ¬ — Patch Tuesday 13 maggio
Windows Defender attivo ✅ SΓ¬ — definizioni aggiornate
SmartScreen ✅ Attivo
Aggiornamenti pendenti in Windows Update Nessuno — sistema aggiornato
Vulnerabile a MiniPlasma ❌ SΓ¬ — confermato da BleepingComputer e Dormann

Configurazione testata da BleepingComputer su Windows 11 Pro — confermata da Will Dormann, Tharros. 18-19 maggio 2026.

Windows 11 aggiornamenti maggio 2026 installati sistema aggiornato vulnerabile MiniPlasma

Windows Update: nessun aggiornamento pendente — patch maggio 2026 installate. Sistema aggiornato ma vulnerabile a MiniPlasma.

02

Come funziona tecnicamente — senza termini incomprensibili

Il problema Γ¨ nel Cloud Filter driver di Windows — il componente che gestisce la sincronizzazione con OneDrive e altri servizi cloud. È un driver che gira in modalitΓ  kernel, il livello piΓΉ basso e privilegiato del sistema operativo.

La race condition

MiniPlasma sfrutta una race condition — in italiano, una condizione di gara. Significa che l'exploit approfitta di un momento preciso in cui due operazioni avvengono quasi contemporaneamente nel sistema e interferiscono tra loro. È come approfittare di una porta che si apre per una frazione di secondo mentre il sistema sta facendo qualcos'altro.

In quel momento di apertura, MiniPlasma riesce a creare chiavi di registro nell'area .DEFAULT user hive — un'area normalmente accessibile solo al sistema — senza i normali controlli di sicurezza. Da lΓ¬, il percorso verso SYSTEM Γ¨ aperto.

PerchΓ© non funziona al 100%

Essendo una race condition, il successo non Γ¨ garantito al primo tentativo su ogni macchina. Dipende da quanti core ha il processore e da come il sistema stia gestendo altri processi in quel momento. Sui sistemi multi-core moderni — che sono praticamente tutti — funziona in modo sufficientemente affidabile da rappresentare un rischio reale.

PerchΓ© OneDrive c'entra

Il Cloud Filter driver Γ¨ integrato in Windows per supportare la sincronizzazione cloud — non solo OneDrive, ma qualsiasi servizio che usa il framework Cloud Files API di Microsoft. Significa che il codice vulnerabile gira su praticamente tutti i PC Windows 11 moderni, indipendentemente da se stai usando OneDrive o no.

03

Chi Γ¨ Chaotic Eclipse — e la serie di exploit precedenti

MiniPlasma non Γ¨ un caso isolato. MiniPlasma rappresenta l'ultimo capitolo di una massiccia campagna di disclosure non coordinata avviata dal ricercatore nelle ultime settimane.

Chaotic Eclipse — conosciuto anche come Nightmare-Eclipse — ha rilasciato una serie di exploit Windows nell'arco di poche settimane:

Nome exploit Data Effetto Stato patch
BlueHammer Aprile 2026 Privilege escalation — CVE-2026-33825 ✅ Patchato
RedSun Aprile 2026 Privilege escalation su Windows Defender ⚠️ Silenziosamente
UnDefend Aprile 2026 Blocca aggiornamenti definizioni Defender ❌ Nessuna patch
YellowKey Maggio 2026 Bypass BitLocker su TPM-only config ❌ Nessuna patch
GreenPlasma Maggio 2026 Privilege escalation CTFMON framework ❌ Nessuna patch
MiniPlasma 13 maggio 2026 Privilegi SYSTEM — CVE-2020-17103 reviviscente ❌ Nessuna patch

Fonte: BleepingComputer, HardwareUpgrade, CyberSecurityNews — maggio 2026

PerchΓ© Chaotic Eclipse sta facendo questo

Il ricercatore Γ¨ esplicito: sta protestando contro il programma bug bounty di Microsoft e contro come l'azienda gestisce le segnalazioni di vulnerabilitΓ . Chaotic Eclipse afferma che "il problema esatto riportato a Microsoft da Google Project Zero Γ¨ ancora presente, non patchato" e di non sapere "se Microsoft non abbia mai applicato la patch o se sia stata silenziosamente rimossa ad un certo punto per ragioni ignote."

Che si condivida o meno il metodo, Γ¨ una scelta controversa. Ma BlueHammer — il primo della serie — Γ¨ stato sfruttato attivamente in attacchi reali poco dopo la pubblicazione. Quindi il rischio non Γ¨ teorico. È giΓ  successo.

04

Sei a rischio? La risposta onesta

Dipende da come usi il PC — e soprattutto da cosa Γ¨ giΓ  successo sul sistema prima che MiniPlasma venisse pubblicato.

Il punto che quasi nessuno dice chiaramente: MiniPlasma da solo non entra nel tuo PC mentre navighi. Ha bisogno di un punto di accesso iniziale.

La cosa curiosa Γ¨ che molte persone leggendo "zero-day" pensano immediatamente a un attacco remoto — qualcosa che ti colpisce mentre sei connesso a internet senza fare nulla. In realtΓ  MiniPlasma funziona diversamente: Γ¨ piΓΉ simile a un acceleratore usato dopo una compromissione iniziale. Prima entra qualcosa — phishing, una macro, un file scaricato — poi quella cosa usa MiniPlasma per ottenere i permessi massimi. Sono due passaggi distinti. Il secondo Γ¨ ora molto piΓΉ facile grazie al codice pubblico su GitHub.

In ambienti enterprise questo schema Γ¨ documentato da anni. Un malware entra con i permessi minimi dell'utente che l'ha eseguito. Poi usa uno strumento di privilege escalation per diventare amministratore o SYSTEM. Da lΓ¬, puΓ² disabilitare il Defender, installare un ransomware, esfiltrare dati — tutto senza che l'utente originale si accorga di nulla.

Il problema con MiniPlasma Γ¨ che questo secondo passaggio — l'escalation — Γ¨ ora disponibile in forma di exploit funzionante e pubblico su GitHub, con 390+ stelle. Non Γ¨ piΓΉ necessario essere esperti per usarlo.

In molte PMI italiane il problema potrebbe essere sottovalutato per un motivo semplice: spesso gli utenti lavorano ancora con account amministratore attivo di default. In quel caso MiniPlasma Γ¨ quasi superfluo — l'attaccante ha giΓ  i permessi che gli servono. Ma il rischio si moltiplica nelle organizzazioni che credono di essere protette perchΓ© hanno applicato le patch mensili.

😳
La cosa che mi ha colpito di piΓΉ analizzando questa vicenda:
RedSun — uno degli exploit precedenti di Chaotic Eclipse — Γ¨ stato sfruttato attivamente in attacchi reali poco dopo la pubblicazione. Questo non Γ¨ speculazione: BleepingComputer ha documentato i casi. Il pattern Γ¨ chiaro: quando un exploit funzionante viene pubblicato su GitHub, qualcuno lo usa. In questo caso, MiniPlasma Γ¨ disponibile da una settimana con 390+ stelle su GitHub.
05

Il problema piΓΉ grande: la storia di CVE-2020-17103

Questa Γ¨ la parte che mi disturba di piΓΉ. E che merita attenzione al di lΓ  della notizia in sΓ©.

CVE-2020-17103 Γ¨ stata segnalata nel settembre 2020 da James Forshaw di Google Project Zero — uno dei ricercatori di sicurezza piΓΉ riconosciuti al mondo. Microsoft ha classificato la vulnerabilitΓ , le ha assegnato un CVE e ha dichiarato di averla corretta nel Patch Tuesday di dicembre 2020.

Dopo aver letto la segnalazione originale di Forshaw, la parte piΓΉ sorprendente Γ¨ che il comportamento descritto nel 2020 coincide quasi perfettamente con quello mostrato oggi da MiniPlasma. Non Γ¨ una variante. Non Γ¨ un'evoluzione. È lo stesso identico codice — come conferma Chaotic Eclipse nel repository: "il PoC originale di Google ha funzionato senza alcuna modifica".

Questo Γ¨ il problema piΓΉ strutturale: non la vulnerabilitΓ  in sΓ© — quelle ci sono sempre — ma il fatto che una vulnerabilitΓ  dichiarata corretta da sei anni risulti ancora sfruttabile. È una situazione che mina la fiducia nel processo di patch management di Microsoft.

πŸ’‘ Per capire perchΓ© gli aggiornamenti di sicurezza sono critici su qualsiasi sistema operativo, leggi la guida su Android non aggiornato: cosa rischi nel 2026 — il principio Γ¨ lo stesso.

06

Cosa fare adesso — mentre aspetti la patch

Non c'Γ¨ una correzione immediata disponibile. La patch ufficiale arriverΓ  probabilmente con il Patch Tuesday di giugno 2026. Nel frattempo, ci sono misure concrete che riducono il rischio.

1. Applica immediatamente tutte le patch disponibili

MiniPlasma funziona su Windows 11 aggiornato — ma questo non significa che ignorare gli aggiornamenti sia una strategia. Tutte le altre vulnerabilitΓ  corrette nelle patch di maggio 2026 restano importanti. Mantieni Windows aggiornato anche aspettando la patch specifica per MiniPlasma.

2. Principio del privilegio minimo

Non usare un account amministratore per il lavoro quotidiano — usa un account utente standard. Se MiniPlasma richiede giΓ  accesso locale, partire da un account con meno privilegi rende comunque piΓΉ difficile l'escalation in certi scenari concatenati.

3. Attenzione ai link e agli allegati email

MiniPlasma da solo non basta — serve che qualcuno abbia giΓ  accesso al PC. Il vettore di accesso piΓΉ comune resta il phishing. Una email con un allegato Word che esegue una macro, un link che scarica un file eseguibile — sono questi i punti di ingresso che poi potrebbero usare MiniPlasma come secondo step.

4. Endpoint Detection and Response (ambienti aziendali)

L'obiettivo non Γ¨ solo reagire dopo l'incidente, ma limitare le condizioni che permettono a un attaccante di arrivare fino alla fase di escalation. Gli strumenti EDR possono rilevare comportamenti anomali associati all'escalation di privilegi — anche prima che la patch sia disponibile.

5. Monitora il repository GitHub

Il codice di MiniPlasma Γ¨ pubblico. Significa che chiunque puΓ² testarlo — inclusi i team di sicurezza. Se gestisci infrastrutture Windows, vale la pena tenere d'occhio il repository per aggiornamenti sulla varianti e sul comportamento dell'exploit.

⚠️
Una cosa importante che nessuno dice chiaramente:
MiniPlasma non funziona sulle build Windows 11 Insider Preview Canary — il canale di test piΓΉ avanzato di Microsoft. Questo suggerisce che una correzione interna esiste giΓ  nei laboratori Microsoft. Il problema Γ¨ quanto tempo ci vorrΓ  prima che arrivi sui sistemi pubblici nel ciclo di patch standard.
07

La posizione di Microsoft

Microsoft non ha rilasciato un commento specifico su MiniPlasma. L'azienda Γ¨ attesa a fornire chiarimenti una volta completate le indagini interne. In precedenza, in risposta alla serie di exploit di Chaotic Eclipse, Microsoft aveva dichiarato a BleepingComputer che "sostiene la divulgazione coordinata delle vulnerabilitΓ  come pratica ampiamente adottata nel settore".

È una risposta diplomatica che non risponde alla domanda principale: perchΓ© CVE-2020-17103 — dichiarata corretta nel 2020 — Γ¨ ancora sfruttabile nel 2026?

Onestamente, mi aspetto una patch nel Patch Tuesday di giugno 2026. Il fatto che l'exploit non funzioni sulle build Insider Canary conferma che Microsoft Γ¨ giΓ  al lavoro internamente. Ma l'assenza di un comunicato esplicito su una vulnerabilitΓ  con exploit pubblico e funzionante — dopo una settimana — Γ¨ una scelta che lascia molti amministratori di sistema senza indicazioni chiare.

Ed Γ¨ proprio questo il dettaglio piΓΉ inquietante: molti utenti penseranno di essere protetti perchΓ© Windows Update non mostra aggiornamenti disponibili. Il sistema dice che va tutto bene. Nel frattempo, MiniPlasma funziona.

πŸ“’
Condividi questa guida:
Se lavori in un'azienda con PC Windows — o conosci chi li gestisce — questa Γ¨ una notizia da sapere adesso.

πŸ‘‰ Android non aggiornato: cosa rischi →
πŸ‘‰ Tutte le guide Privacy e Sicurezza su ScelgoIo →

Se stai cercando informazioni su MiniPlasma: Γ¨ un exploit zero-day che funziona su sistema aggiornato, sfrutta una vulnerabilitΓ  del 2020 dichiarata corretta ma ancora presente, e permette a qualsiasi utente locale di ottenere i massimi privilegi di sistema. Non c'Γ¨ ancora una patch ufficiale — attesa a giugno 2026.

Analisi ScelgoIo

MiniPlasma — cosa fare adesso

L'exploit funziona, Γ¨ confermato da BleepingComputer e da ricercatori indipendenti. Il rischio per utenti domestici Γ¨ basso — richiede accesso locale. Per ambienti aziendali Γ¨ piΓΉ concreto. Mantieni Windows aggiornato, usa account standard per il lavoro quotidiano, attenzione al phishing. La patch Γ¨ attesa a giugno 2026.

Fonti: BleepingComputer, HardwareUpgrade, CyberSecurityNews. 19 maggio 2026.

PATCH ATTESA
GIUGNO
2026
no fix
disponibile
Rocco Caiazza
Rocco Caiazza Fondatore di ScelgoIo · 19 maggio 2026
Chi Γ¨ Rocco →

Ultima verifica: 19 maggio 2026. Situazione patch in aggiornamento — monitorare il Patch Tuesday di giugno 2026.

Domande frequenti — MiniPlasma Windows 2026

Il mio Windows 11 aggiornato Γ¨ vulnerabile a MiniPlasma? +
SΓ¬ — BleepingComputer ha confermato che MiniPlasma funziona su Windows 11 Pro aggiornato con tutte le patch di maggio 2026. L'unica eccezione nota Γ¨ la build Insider Preview Canary. Non c'Γ¨ ancora una patch ufficiale disponibile.
MiniPlasma puΓ² attaccarmi mentre navigo su internet? +
No — MiniPlasma richiede accesso locale al PC. Non Γ¨ un exploit remoto. Non puΓ² attaccarti solo navigando su internet. Il rischio principale Γ¨ in scenari dove qualcuno ha giΓ  ottenuto un accesso limitato al sistema — ad esempio tramite phishing o malware — e usa MiniPlasma per scalare i privilegi.
Quando arriverΓ  la patch per MiniPlasma? +
Non Γ¨ ancora stata comunicata una data ufficiale. La patch Γ¨ attesa con il Patch Tuesday di giugno 2026. Il fatto che MiniPlasma non funzioni sulle build Insider Canary suggerisce che Microsoft stia giΓ  lavorando a una correzione internamente.
Cosa posso fare adesso per proteggermi? +
Mantieni Windows aggiornato con tutte le patch disponibili. Usa un account utente standard per il lavoro quotidiano — non amministratore. Non aprire allegati email sospetti o eseguire file non verificati. In ambienti aziendali, usa strumenti EDR per rilevare comportamenti anomali di escalation privilegi.

Autore: Rocco Caiazza – Fondatore di ScelgoIo