مايكروسوفت تسد ثغرة "RoguePlanet" بـ Defender تسمح بصلاحيات SYSTEM
فريق جلتشمنذ ساعة0 مشاهدة4 دقائق

مايكروسوفت تسد ثغرة "RoguePlanet" بـ Defender تسمح بصلاحيات SYSTEM
مقدمة تحليلية
بتاريخ 9 يوليو 2026، أعلنت مايكروسوفت عن إصلاح ثغرة CVE-2026-50656، المعروفة باسم "RoguePlanet". هذه الثغرة الحرجة في Microsoft Defender، تحمل تصنيف CVSS 7.8، وتسمح بتصعيد الامتيازات إلى مستوى SYSTEM. الإصلاح جاء بعد شهر تقريباً من الكشف العام عن تفاصيل الثغرة، مما يثير تساؤلات حول سرعة استجابة عملاق البرمجيات في مواجهة التهديدات الأمنية المباشرة التي تمنح المهاجمين سيطرة تامة على الأنظمة المستهدفة.التحليل التقني
تكمن ثغرة "RoguePlanet"، وهي مشكلة تصعيد امتيازات، في محرك الحماية من البرامج الضارة الخاص بمايكروسوفت، تحديداً في ملف "mpengine.dll". يصف الباحث الأمني Chaotic Eclipse (المعروف أيضاً باسم Nightmare-Eclipse) الذي اكتشف الثغرة، "RoguePlanet" بأنها حالة سباق (race condition) وهي خلل برمجي يحدث عندما تتنافس عدة عمليات أو خيوط للوصول إلى مورد مشترك، مما يؤدي إلى نتائج غير متوقعة أو غير صحيحة. تسمح هذه الحالة للمهاجم بتشغيل shell بصلاحيات SYSTEM، مما يمنح سيطرة كاملة على النظام وتنفيذ تعليمات برمجية عشوائية. وقد أثبت الاستغلال فعاليته على أنظمة ويندوز التي تعمل بأحدث التحديثات، بما في ذلك تحديثات "Patch Tuesday" لشهر يونيو 2026. الأدهى من ذلك، أن الثغرة تعمل حتى لو كانت ميزة الحماية في الوقت الفعلي مفعلة. تتضمن التفاصيل التقنية للإصلاح ترقية محرك الحماية من البرامج الضارة إلى الإصدار 1.1.26060.3008، بالإضافة إلى تحديثات "defense-in-depth" لتعزيز ميزات أمنية غير محددة. ومع ذلك، لم يسلم هذا الإصلاح نفسه من التدقيق. فقد كشف Chaotic Eclipse لاحقاً أن تحديثات "defense-in-depth" هذه قد تتسبب في مشاكل جديدة، منها تسرب 8 بايت من البيانات عند محاولة فتح ملفات معينة. الأهم من ذلك، وجد الباحث ثغرة أخرى يمكن أن تؤدي إلى استنزاف كامل لمساحة القرص الصلب للنظام:- آلية الهجوم: تعتمد على ملفات "Zone.Identifier ADS" الضخمة عبر بروتوكول SMB (Server Message Block)، وهو بروتوكول شبكة يستخدم لمشاركة الملفات.
- سلوك Defender: يقوم Windows Defender بتخزين نسخة محلية من ملف "Zone.Identifier ADS" بغض النظر عن حجمه، مستنفداً بذلك مساحة القرص.
- التأثير: على الرغم من أنه لا يؤدي إلى تعطل الجهاز مباشرة، إلا أن امتلاء القرص يسبب سلوكاً غير مستقر، مع تعطل العديد من التطبيقات والخدمات بشكل عشوائي.
- الأنظمة المتأثرة: تمكن الباحث من إعادة إنتاج المشكلة على Windows 11 25H2 وWindows Server 2025.
السياق وتأثير السوق
تضع هذه السلسلة من الثغرات، خاصة "RoguePlanet" والكشف اللاحق عن مشاكل في الإصلاح نفسه، مايكروسوفت في موقف حرج. فالشركة التي تدعي أن "تكوينها الافتراضي يساعد في ضمان تحديث تعريفات البرامج الضارة ومحرك الحماية تلقائياً"، تواجه واقعاً تظهر فيه عيوب متكررة. هذا الأمر يخلق سياقاً تنافسياً غير معلن بين عملاق البرمجيات والباحثين الأمنيين المستقلين:- مايكروسوفت مقابل Chaotic Eclipse: بينما تسد مايكروسوفت الثغرات، فهي لا تزال تتجنب الإشارة الرسمية لـ Chaotic Eclipse كمكتشف للعديد من هذه الثغرات علناً. هذا الصراع على الاعتراف يؤثر على ثقة مجتمع الأمن في شفافية مايكروسوفت واستعدادها للعمل مع الباحثين.
- تحديثات "Defense-in-Depth" مقابل استقرار النظام: الهدف من هذه التحديثات هو تعزيز الأمن، لكنها في هذه الحالة، قدمت مشاكل جديدة تتمثل في تسرب البيانات واستنزاف القرص. هذا يشير إلى أن عملية الاختبار والتكامل في مايكروسوفت قد تكون غير كافية، أو أن الضغط للإصلاح السريع يؤدي إلى إدخال أخطاء جديدة. الخاسرون هنا هم المستخدمون الذين يعتمدون على هذه التحديثات.
- المستخدمون مقابل التهديدات المستمرة: على الرغم من ادعاء مايكروسوفت بأن "لا يلزم اتخاذ أي إجراء من جانب العميل"، فإن هذا يتجاهل حقيقة أن فجوة الشهر بين الكشف العام والإصلاح الفعلي كانت كافية لاستغلال الثغرة. الفائزون هنا هم المهاجمون الذين يستغلون هذه الفترة، بينما يبقى المستخدمون العاديون هم الأكثر عرضة للخطر.
رؤية Glitch4Techs
نهج مايكروسوفت في معالجة ثغرات Defender بات مقلقاً بشكل متزايد. بينما يعد إصلاح CVE-2026-50656 خطوة ضرورية، إلا أن تأخر الاستجابة لأكثر من شهر بعد الكشف العام، ثم الكشف عن ثغرات جديدة محتملة في نفس التحديثات "defense-in-depth"، يكشف عن استراتيجية أمنية رد فعلية لا استباقية. الاعتماد على التحديثات التلقائية كمبرر لعدم "اتخاذ أي إجراء من جانب العميل" هو إخفاء لواقع أن المستخدمين يعتمدون على نظام قد يكون معيباً في جوهره أو في سرعة إصلاحه. يجب على مايكروسوفت إعادة تقييم جدية لعمليات التطوير والاختبار، وأن تتعامل بشفافية أكبر مع الباحثين الأمنيين. الرهان على أن التحديثات ستصل دائماً في الوقت المناسب وستكون خالية من العيوب هو رهان خاسر، كما أظهرت ثغرات "RoguePlanet" ومشاكلها اللاحقة بوضوح.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة
مقالات قد تهمك

أمن المعلومات
مفاتيح API المشتركة تهدد وكلاء الذكاء الاصطناعي: 69% من الشركات عرضة للخطر

أمن المعلومات
GhostLock: ثغرة لينكس عمرها 15 عاماً تمنح صلاحيات Root وهروب من الحاويات

أمن المعلومات
CISA تُحذر: 4 ثغرات خطيرة في Adobe وJoomla وLangflow تستغل بنشاط

أمن المعلومات