Microsoft: disponibili PoC per lo sfruttamento di vulnerabilità zero-day (AL08/260514/CSIRT-ITA)
Data:
20 Maggio 2026
Impatto Sistemico
Critico (78.2)
Sintesi
Disponibili Proof of Concept (PoC) per due nuove vulnerabilità 0-day, note con i nomi di “ GreenPlasma ” e “ YellowKey ”, presenti in prodotti Microsoft.
Tipologia
- Privilege Escalation
- Security Feature Bypass
- Information Disclosure
Descrizione e potenziali impatti
Nel dettaglio, la vulnerabilità 0‑day identificata con il nome “ GreenPlasma ” e di tipo “ Local Privilege Escalation ”, è riconducibile a un comportamento non adeguato del componente CTF/CTFMON di Windows, che consente la creazione di specifici oggetti di memoria in aree del sistema normalmente riservate all’utente SYSTEM. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato influenzare il comportamento di servizi e componenti di sistema che fanno affidamento su percorsi od oggetti considerati attendibili, permettendogli di elevare i propri privilegi sui sistemi interessati.
La seconda vulnerabilità 0‑day, denominata “ YellowKey ” e identificata tramite la CVE-2026-45585, è dovuta a un comportamento anomalo di Windows Recovery Environment (WinRE) che può essere indotto tramite la manipolazione di specifici componenti e strutture utilizzate durante il processo di avvio dell’ambiente di ripristino. In dettaglio, è possibile causare il malfunzionamento del normale flusso di avvio di WinRE e ottenere l’apertura di una console di comandi con privilegi elevati, in un contesto in cui il volume protetto da BitLocker risulta già sbloccato. Un attaccante con accesso fisico al dispositivo e la possibilità di introdurre file opportunamente predisposti (ad esempio tramite supporti rimovibili o modifica della partizione EFI) potrebbe eludere i meccanismi di sicurezza di BitLocker, e ottenere l’accesso non autorizzato a dati sensibili sui sistemi interessati.
Prodotti e/o versioni affette
- Windows 11
- Windows Server 2022
- Windows Server 2025/2026
Azioni di mitigazione
In attesa del rilascio delle correttive di sicurezza da parte di Microsoft, si raccomanda di valutare l’implementazione delle seguenti azioni di mitigazione preventive:
- montare l’immagine WinRE sui sistemi interessati, ed eseguire in un prompt come Amministratore il comando mkdir C:\mount; reagentc /mountre /path C:\mount ;
- montare l’hive del registro di sistema dell’immagine WinRE appena montata. Comando di esempio: reg load HKLM\WinREHive; C:\mount\Windows\System32\config\SYSTEM ;
- rimuovere il valore autofstx.exe dalla chiave ‘HKLM\WinREHive\ControlSet001\Control\Session Manager, BootExecute’ ;
- salvare e chiudere l’hive di registro: reg unload HKLM\WinREHive ;
- ristabilire il trust BitLocker per WinRE: reagentc /unmountre /path C:\mount /commit ;
- ridurre la possibilità di eseguire codice non autorizzato tramite Application Control (WDAC/AppLocker) e policy di blocco esecuzione in aree user‑writable;
- applicare il principio del “ Least Privilege ” minimizzando gli utenti con diritti amministrativi locali e usare account separati per attività privilegiate;
- rafforzare EDR/telemetria su CTF/ctfmon e anomalie di sessione;
Riferimenti
- https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/
- https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/
CVE
| CVE-ID |
|---|
| CVE-2026-45585 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 14-05-2026 | 14/05/2026 |
| 1.1 | Alert aggiornato per l’assegnazione della CVE-2026-45585 e con l’aggiunta di nuovi dettagli alla sezione “Azioni di mitigazione” | 20/05/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
20 Maggio 2026, 18:00
CSIRT Toscana