Impatto Sistemico

Critico (78.2)

Sintesi

Disponibili Proof of Concept (PoC) per due nuove vulnerabilità 0-day, note con i nomi di “ GreenPlasma ” e “ YellowKey ”, presenti in prodotti Microsoft.

Tipologia

• Privilege Escalation
• Security Feature Bypass
• Information Disclosure

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità 0‑day identificata con il nome “ GreenPlasma ” e di tipo “ Local Privilege Escalation ”, è riconducibile a un comportamento non adeguato del componente CTF/CTFMON di Windows, che consente la creazione di specifici oggetti di memoria in aree del sistema normalmente riservate all’utente SYSTEM. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato influenzare il comportamento di servizi e componenti di sistema che fanno affidamento su percorsi o oggetti considerati attendibili, permettendogli di elevare i propri privilegi sui sistemi interessati.

La seconda vulnerabilità 0‑day identificata con il nome “ YellowKey ” è dovuta a un comportamento anomalo di Windows Recovery Environment (WinRE) che può essere indotto tramite la manipolazione di specifici componenti e strutture utilizzate durante il processo di avvio dell’ambiente di ripristino. In dettaglio, è possibile causare il malfunzionamento del normale flusso di avvio di WinRE e ottenere l’apertura di una console di comandi con privilegi elevati, in un contesto in cui il volume protetto da BitLocker risulta già sbloccato. Un attaccante con accesso fisico al dispositivo e la possibilità di introdurre file opportunamente predisposti (ad esempio tramite supporti rimovibili o modifica della partizione EFI) potrebbe eludere i meccanismi di sicurezza di BitLocker, e ottenere l’accesso non autorizzato a dati sensibili sui sistemi interessati.

Prodotti e/o versioni affette

• Windows 11
• Windows Server 2022
• Windows Server 2025/2026

Azioni di mitigazione

In attesa del rilascio delle correttive di sicurezza da parte di Microsoft, si raccomanda di valutare l’implementazione delle seguenti azioni di mitigazione preventive:

• ridurre la possibilità di eseguire codice non autorizzato tramite Application Control (WDAC/AppLocker) e policy di blocco esecuzione in aree user‑writable;
• applicare il principio del “ Least Privilege ” minimizzando gli utenti con diritti amministrativi locali e usare account separati per attività privilegiate;
• rafforzare EDR/telemetria su CTF/ctfmon e anomalie di sessione;
• rafforzare BitLocker con autenticazione pre‑boot (es. TPM+PIN), soprattutto dove è configurato TPM‑only;
• proteggere UEFI/BIOS con password e limitare/impedire boot da USB o da dispositivi esterni;
• rafforzare la sicurezza fisica (custodia, accesso ai locali, procedure per dispositivi smarriti/rubati), in quanto YellowKey è sfruttabile esclusivamente in presenza di accesso fisico.