شرکت مایکروسافت وصله امنیتی آسیبپذیری موسوم به RoguePlanet با شناسه CVE-2026-50656 را برای Microsoft Defender منتشر کرد. این نقص امنیتی امکان ارتقای سطح دسترسی تا سطح SYSTEM را برای مهاجمان فراهم میکرد. با این حال، پژوهشگر امنیتی کشفکننده RoguePlanet اعلام کرده است که تغییرات جدید Defender ممکن است در برخی شرایط، باعث پر شدن کامل فضای ذخیرهسازی سیستم شوند.
مایکروسافت آسیبپذیری RoguePlanet را برطرف کرد
مایکروسافت آسیبپذیری RoguePlanet را با انتشار نسخه 1.1.26060.3008 از Microsoft Malware Protection Engine (mpengine.dll) برطرف کرده است. این نقص با امتیاز CVSS 7.8 ثبت شده است.
پژوهشگر امنیتی Chaotic Eclipse که با نام NightmareEclipse نیز شناخته میشود، نخستین بار RoguePlanet را افشا کرد. او اعلام کرد که این آسیبپذیری از یک Race Condition در موتور ضدبدافزار مایکروسافت سوءاستفاده میکند. مهاجم پس از بهرهبرداری میتواند یک Shell با دسترسی SYSTEM اجرا کند. در نتیجه، اجرای کد دلخواه و انجام عملیات غیرمجاز امکانپذیر میشود.
این پژوهشگر همچنین تأکید کرد که اکسپلویت روی نسخههای بهروز Windows 10 و Windows 11 نیز کار میکند. به گفته او، فعال یا غیرفعال بودن قابلیت Real-Time Protection نیز مانع موفقیت حمله نمیشود.
مایکروسافت اعلام کرده است که کاربران نیازی به نصب دستی این بهروزرسانی ندارند. موتور Microsoft Defender بهطور خودکار آخرین نسخه را دریافت و نصب میکند.
RoguePlanet چهارمین آسیبپذیری افشاشده Defender است
RoguePlanet چهارمین آسیبپذیری مهمی است که Chaotic Eclipse طی ماههای اخیر منتشر کرده است. او پیش از این نیز آسیبپذیریهای BlueHammer، UnDefend و RedSun را گزارش کرده بود. مایکروسافت برای هر سه مورد نیز وصله امنیتی منتشر کرده است.
انتشار این آسیبپذیریها اختلاف میان این پژوهشگر و مایکروسافت را افزایش داده است. مایکروسافت پیشتر از نحوه افشای عمومی این نقصها انتقاد کرده بود و آن را مغایر با اصول افشای مسئولانه میدانست.
پژوهشگر از نقص جدید پس از نصب وصله خبر داد
تنها یک روز پس از انتشار وصله، NightmareEclipse ادعا کرد که تغییرات امنیتی جدید Defender رفتار غیرمنتظرهای ایجاد کردهاند.
به گفته او، قابلیتهای جدید Defense-in-Depth در برخی شرایط باعث نشت ۸ بایت داده هنگام باز شدن فایل میشوند. این نشت در حال حاضر تنها برای درایورها قابل مشاهده است، اما نگرانی اصلی به نحوه مدیریت فایلهای Zone.Identifier مربوط میشود.
چگونه فضای دیسک پر میشود؟
Windows Defender هنگام اسکن و قرنطینه فایلها، محدودیت مشخصی برای اندازه فایلها در نظر میگیرد. این محدودیت از پر شدن فضای ذخیرهسازی جلوگیری میکند.
با این حال، NightmareEclipse میگوید فایلهای Zone.Identifier از این محدودیت مستثنا هستند. این فایلها از نوع Alternate Data Stream (ADS) محسوب میشوند و Windows برای ثبت منشأ فایلهای دانلودشده از اینترنت از آنها استفاده میکند.
در سناریوی حمله، مهاجم یک سرور SMB مخرب راهاندازی میکند. سپس فایل آلوده را همراه با یک فایل Zone.Identifier بسیار بزرگ در اختیار Defender قرار میدهد. سرور در میانه انتقال داده پاسخ نمیدهد، اما اتصال را باز نگه میدارد.
در این شرایط، Windows Defender فایل را در حافظه موقت خود نگه میدارد و به نوشتن داده ادامه میدهد. این فرآیند میتواند تمام فضای خالی دیسک را اشغال کند. هرچند سیستم لزوماً از کار نمیافتد، اما بسیاری از برنامهها و سرویسهای Windows به دلیل کمبود فضای ذخیرهسازی دچار اختلال خواهند شد.
سیستمهای متأثر
این پژوهشگر اعلام کرده است که این رفتار را روی نسخههای زیر بازتولید کرده است:
-
Windows 11 نسخه 25H2
-
Windows Server 2025
او همچنین در حال بررسی اجرای همین سناریو از طریق WebDAV است تا نیاز به احراز هویت SMB نیز حذف شود.
واکنش مایکروسافت
مایکروسافت هنوز ادعای پژوهشگر درباره این نقص جدید را تأیید یا رد نکرده است. با این حال، این شرکت از کاربران خواسته است همواره آخرین نسخه Microsoft Defender را نصب کنند تا جدیدترین اصلاحات امنیتی بهصورت خودکار روی سیستم اعمال شوند.
جمعبندی
وصله CVE-2026-50656 یکی از مهمترین آسیبپذیریهای اخیر Windows Defender را برطرف میکند و مانع از سوءاستفاده مهاجمان برای دستیابی به سطح دسترسی SYSTEM میشود. با این حال، ادعای کشف یک نقص جدید پس از انتشار این بهروزرسانی، توجه جامعه امنیت سایبری را دوباره به Defender جلب کرده است. اگر مایکروسافت این گزارش را تأیید کند، احتمال انتشار یک اصلاحیه جدید برای رفع این مشکل دور از انتظار نخواهد بود.
