È stata rilevata una vulnerabilità zero-day nei sistemi Microsoft Windows, denominata “MiniPlasma”, potenzialmente collegata alla CVE-2020-17103, per la quale è stato diffuso di un Proof of Concept (PoC) pubblico.
La vulnerabilità interessa il driver di sistema cldflt.sys, componente utilizzato da Windows per la gestione delle funzionalità di sincronizzazione cloud, e potrebbe consentire a un utente con privilegi standard di ottenere privilegi SYSTEM attraverso una race condition nel sistema operativo.
Secondo le analisi disponibili, l’exploit permetterebbe la manipolazione di chiavi di registro e collegamenti simbolici (symlink), aprendo la strada all’esecuzione di codice arbitrario con privilegi elevati.
I sistemi potenzialmente coinvolti includono Windows 11 e Windows Server 2022 e 2025.
In attesa delle patch ufficiali da parte di Microsoft, il CSIRT Italia raccomanda di:
- disattivare syssui sistemi che non richiedono funzionalità di sincronizzazione cloud;
- restringere i privilegi SeCreateSymbolicLinkPrivilege, SeRestorePrivilege e SeTakeOwnershipPrivilege per limitare la creazione di link simbolici e la manipolazione di DACL/ownership;
- monitorare le chiavi associate a CloudFiles, evidenziando variazioni di DACL/Owner, collegamenti simbolici (symlink) nel registro e anomalie correlate all’Object Manager NT;
- implementare regole di correlazione per intercettare l’eventuale abuso delle Cloud Filter API (es. CfAbortHydration), reparse point anomali e sequenze di accesso concorrente/race condition;
- applicare policy WDAC/AppLocker e regole ASR per bloccare payload non autorizzati e tool di exploit custom;
- abilitare il tracciamento ETW dei provider Cloud Filter e Object Manager per identificare attività malevole non rilevabili tramite il solo auditing tradizionale.
