Se usi Windows, la priorità è semplice: aggiorna subito il sistema, verifica che le protezioni di sicurezza siano attive e limita l’uso di dispositivi USB non fidati. In questo momento, infatti, sono emerse nuove vulnerabilità che possono mettere a rischio laptop, account con privilegi elevati e perfino sistemi già aggiornati. La buona notizia è che molte difese di base — aggiornamenti rapidi, accesso fisico controllato, privilegi minimi e protezioni endpoint — riducono molto l’esposizione.
Negli ultimi giorni sono state rese pubbliche altre tre falle in Windows che si aggiungono a una serie di vulnerabilità già segnalate nelle settimane precedenti. Il quadro è preoccupante perché le debolezze toccano componenti centrali del sistema operativo e includono scenari molto diversi tra loro: accesso fisico ai dispositivi, escalation dei privilegi e sfruttamento di una vecchia vulnerabilità che alcuni credevano già risolta da tempo.
Una sequenza di falle che si allunga
Il problema non è soltanto la presenza di nuove vulnerabilità, ma il ritmo con cui vengono rese note. In poco più di sei settimane sono state diffuse diverse segnalazioni che riguardano componenti critici di Windows e delle sue difese integrate. Alcune sono già state collegate a tentativi di abuso, mentre altre restano prive di una correzione ufficiale completa.
Le tre nuove falle individuate si chiamano YellowKey, GreenPlasma e MiniPlasma. Ognuna segue una logica diversa e richiede condizioni d’attacco differenti, ma tutte contribuiscono a creare un rischio concreto per ambienti aziendali e dispositivi personali.
YellowKey: rischio per BitLocker con accesso fisico
YellowKey è probabilmente la vulnerabilità più immediata da comprendere anche per un utente non tecnico. In termini semplici, può consentire a un aggressore che ha accesso fisico al computer e una chiavetta USB preparata appositamente di aggirare la protezione di BitLocker e accedere ai dati cifrati.
Questo significa che la sicurezza del dispositivo non dipende solo dalla password o dalla crittografia, ma anche dal controllo fisico del laptop. Se un attaccante riesce a inserire il supporto USB nel dispositivo e a farlo riavviare nel Windows Recovery Environment, può innescare la vulnerabilità e arrivare a leggere informazioni protette.
Per gli utenti, il messaggio è chiaro: non lasciare mai dispositivi incustoditi, specialmente in uffici condivisi, spazi pubblici o durante trasferte. La cifratura resta utile, ma non può sostituire il controllo dell’accesso fisico.
GreenPlasma: escalation dei privilegi su più versioni di Windows
GreenPlasma riguarda Windows 10, Windows 11 e Windows Server. Questa falla colpisce un componente usato per la gestione dei servizi di input testuale e può consentire a un aggressore di ottenere privilegi di livello SYSTEM, cioè il livello più alto su molti sistemi Windows.
Perché è importante? Perché una volta ottenuti privilegi di questo tipo, un attaccante può fare molto di più che aprire un file o leggere un account: può installare strumenti, spostarsi lateralmente nella rete, persistere nel sistema e aggirare varie difese. In ambito aziendale, questo tipo di vulnerabilità è spesso usata insieme a tecniche di ingegneria sociale, ad esempio inducendo un dipendente a installare software di controllo remoto apparentemente legittimo.
In altre parole, il problema non è solo tecnico. Spesso l’attacco inizia con un comportamento umano apparentemente innocuo. Per questo è fondamentale formare gli utenti, limitare i privilegi locali e verificare con attenzione i software di amministrazione remota.
MiniPlasma: un vecchio bug che torna pericolosamente attuale
MiniPlasma si basa su una vulnerabilità già nota da anni, identificata come CVE-2020-17103. Il fatto sorprendente è che un vecchio proof-of-concept continua a funzionare, il che suggerisce che la correzione iniziale non abbia eliminato del tutto il problema in tutte le condizioni possibili.
Questa falla interessa il driver Cloud Files Mini Filter di Windows e può permettere l’elevazione dei privilegi. Anche se in passato era stata segnalata e corretta, il ritorno di un exploit funzionante dimostra che una patch non garantisce automaticamente la chiusura completa di ogni vettore di attacco se il bug viene reinterpretato o adattato.
Il rischio pratico è serio: un difetto considerato “vecchio” può tornare ad essere sfruttabile su sistemi moderni e aggiornati, soprattutto se l’attaccante riesce a modificare o riutilizzare il codice di exploit disponibile.
Altre vulnerabilità già emerse nelle settimane precedenti
Le nuove segnalazioni si aggiungono ad altre falle già divulgate in precedenza. Tra queste figurano BlueHammer, RedSun e UnDefend.
BlueHammer ha attirato particolare attenzione perché può essere usata per trasformare Microsoft Defender in uno strumento contro l’utente invece che a sua protezione. RedSun, secondo quanto riferito da chi ha analizzato la serie di difetti, sarebbe stata risolta in modo silenzioso senza un annuncio pubblico dettagliato. UnDefend, invece, avrebbe consentito di indebolire gradualmente la capacità di Defender di riconoscere nuove minacce.
Il punto comune è evidente: quando le vulnerabilità colpiscono i meccanismi di difesa, non si tratta solo di “un bug”, ma di un problema che può alterare l’equilibrio tra attaccante e difensore.
Perché questa situazione è così delicata
Le implicazioni per aziende e utenti sono ampie. Se una vulnerabilità consente escalation dei privilegi, l’attaccante può fare quasi tutto ciò che vuole sul sistema colpito. Se un’altra permette di aggirare la cifratura, un laptop smarrito o rubato diventa molto più esposto. Se un vecchio bug torna sfruttabile, i team IT devono riesaminare le assunzioni fatte sulle patch già distribuite.
Per questo motivo, la sicurezza non può basarsi solo sull’idea che “aggiornare basta”. Gli aggiornamenti sono fondamentali, ma devono essere accompagnati da altre misure:
- principio del minimo privilegio;
- controllo dei dispositivi USB;
- allowlisting delle applicazioni;
- contenimento delle app;
- monitoraggio continuo degli endpoint;
- formazione contro l’ingegneria sociale.
Queste difese non eliminano il rischio, ma possono impedire che una vulnerabilità si trasformi in un incidente grave.
Come devono reagire utenti e organizzazioni
Per i singoli utenti, la risposta più efficace è semplice:
- installare subito gli aggiornamenti di sicurezza disponibili;
- mantenere attiva la protezione del dispositivo e del disco;
- evitare l’uso di chiavette USB sconosciute;
- non concedere privilegi amministrativi inutili;
- diffidare da software di controllo remoto non autorizzato.
Per le organizzazioni, invece, serve una strategia più ampia. Oltre alla gestione delle patch, è importante:
- segmentare l’accesso alla rete;
- ridurre al minimo gli account con privilegi elevati;
- bloccare o limitare l’esecuzione di codice non autorizzato;
- verificare i log per individuare comportamenti anomali;
- pianificare controlli regolari su BitLocker, Defender e sui servizi di sistema più sensibili.
Un altro punto chiave è la velocità di risposta. Quando emergono nuove vulnerabilità zero-day, il tempo tra divulgazione e sfruttamento può essere molto breve. Le aziende devono quindi avere procedure già pronte per testare patch, distribuire aggiornamenti e comunicare con gli utenti interni.
Il ruolo delle difese preventive
Molti incidenti di successo avvengono perché le organizzazioni dipendono troppo da una singola linea di difesa. Se un attaccante riesce a superare l’endpoint protection o a sfruttare un bug del sistema operativo, servono controlli aggiuntivi che blocchino il movimento laterale o l’esecuzione di strumenti malevoli.
Le soluzioni più efficaci sono quelle che combinano prevenzione e rilevamento. In particolare, i controlli di tipo deny-by-default possono fare una grande differenza: se un codice non è autorizzato, non deve potersi eseguire. Questo approccio riduce il margine d’azione di attori malevoli anche quando scoprono una falla sconosciuta.
Technical Deep Dive
Dal punto di vista tecnico, queste vulnerabilità mostrano tre classi di rischio molto diverse. YellowKey è interessante perché richiede accesso fisico e sfrutta il Windows Recovery Environment, quindi appartiene alla categoria degli attacchi pre-boot o di recovery-path abuse. La sua efficacia dipende da come il dispositivo gestisce i passaggi tra BitLocker, WinRE e l’interazione con la tastiera durante il riavvio.
GreenPlasma è invece un classico caso di local privilege escalation. L’impatto reale non è soltanto l’ottenimento di SYSTEM, ma la possibilità di concatenare la falla con un accesso iniziale ottenuto tramite phishing, RMM abusato o credenziali rubate. In scenari enterprise, il passaggio da utente standard a SYSTEM è spesso il trampolino per persistence, credential dumping e movimento laterale.
MiniPlasma è forse il caso più istruttivo per i difensori: dimostra che una vulnerabilità storica può rimanere rilevante se il proof-of-concept originale resta adattabile o se la patch non copre tutti gli edge case del driver coinvolto. I team di sicurezza dovrebbero quindi valutare non solo la presenza di un CVE, ma anche la reale efficacia della mitigazione nel contesto del build attuale di Windows, dei driver installati e delle policy locali.
Sul fronte difensivo, i controlli più utili includono application control, restrizioni su PowerShell e script, hardening di Windows Recovery, auditing dell’uso di USB, protezione contro l’elevazione dei privilegi e telemetria EDR con regole comportamentali capaci di identificare abusi di componenti legittimi. In ambienti ad alto rischio, conviene anche verificare la resilienza di BitLocker contro attacchi fisici e impostare criteri che riducano la superficie d’attacco del percorso di recovery.
In sintesi, il messaggio tecnico è che la patch è solo una parte della risposta. La resilienza reale arriva dalla combinazione di hardening, segmentazione, controllo dei privilegi e capacità di rilevare catene di attacco multi-fase prima che raggiungano il punto di compromissione completa.
