CSIRT Toscana

Microsoft: disponibili PoC per lo sfruttamento di vulnerabilità zero-day (AL08/260514/CSIRT-ITA)

Data:
20 Maggio 2026

Impatto Sistemico

Critico (78.2)

Sintesi

Disponibili Proof of Concept (PoC) per due nuove vulnerabilità 0-day, note con i nomi di “ GreenPlasma ” e “ YellowKey ”, presenti in prodotti Microsoft.

Tipologia

  • Privilege Escalation
  • Security Feature Bypass
  • Information Disclosure

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità 0‑day identificata con il nome “ GreenPlasma ” e di tipo “ Local Privilege Escalation ”, è riconducibile a un comportamento non adeguato del componente CTF/CTFMON di Windows, che consente la creazione di specifici oggetti di memoria in aree del sistema normalmente riservate all’utente SYSTEM. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato influenzare il comportamento di servizi e componenti di sistema che fanno affidamento su percorsi od oggetti considerati attendibili, permettendogli di elevare i propri privilegi sui sistemi interessati.

La seconda vulnerabilità 0‑day, denominata “ YellowKey ” e identificata tramite la CVE-2026-45585, è dovuta a un comportamento anomalo di Windows Recovery Environment (WinRE) che può essere indotto tramite la manipolazione di specifici componenti e strutture utilizzate durante il processo di avvio dell’ambiente di ripristino. In dettaglio, è possibile causare il malfunzionamento del normale flusso di avvio di WinRE e ottenere l’apertura di una console di comandi con privilegi elevati, in un contesto in cui il volume protetto da BitLocker risulta già sbloccato. Un attaccante con accesso fisico al dispositivo e la possibilità di introdurre file opportunamente predisposti (ad esempio tramite supporti rimovibili o modifica della partizione EFI) potrebbe eludere i meccanismi di sicurezza di BitLocker, e ottenere l’accesso non autorizzato a dati sensibili sui sistemi interessati.

Prodotti e/o versioni affette

  • Windows 11
  • Windows Server 2022
  • Windows Server 2025/2026

Azioni di mitigazione

In attesa del rilascio delle correttive di sicurezza da parte di Microsoft, si raccomanda di valutare l’implementazione delle seguenti azioni di mitigazione preventive:

  • montare l’immagine WinRE sui sistemi interessati, ed eseguire in un prompt come Amministratore il comando mkdir C:\mount; reagentc /mountre /path C:\mount ;
  • montare l’hive del registro di sistema dell’immagine WinRE appena montata. Comando di esempio: reg load HKLM\WinREHive; C:\mount\Windows\System32\config\SYSTEM ;
  • rimuovere il valore autofstx.exe dalla chiave ‘HKLM\WinREHive\ControlSet001\Control\Session Manager, BootExecute’ ;
  • salvare e chiudere l’hive di registro: reg unload HKLM\WinREHive ;
  • ristabilire il trust BitLocker per WinRE: reagentc /unmountre /path C:\mount /commit ;
  • ridurre la possibilità di eseguire codice non autorizzato tramite Application Control (WDAC/AppLocker) e policy di blocco esecuzione in aree user‑writable;
  • applicare il principio del “ Least Privilege ” minimizzando gli utenti con diritti amministrativi locali e usare account separati per attività privilegiate;
  • rafforzare EDR/telemetria su CTF/ctfmon e anomalie di sessione;

Riferimenti

CVE

CVE-ID
CVE-2026-45585

Change log

Versione Note Data
1.0 Pubblicato il 14-05-2026 14/05/2026
1.1 Alert aggiornato per l’assegnazione della CVE-2026-45585 e con l’aggiunta di nuovi dettagli alla sezione “Azioni di mitigazione” 20/05/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

20 Maggio 2026, 18:00