رفع آسیب‌پذیری RoguePlanet؛ چالش تازه برای Windows Defender

شرکت مایکروسافت وصله امنیتی آسیب‌پذیری موسوم به RoguePlanet با شناسه CVE-2026-50656 را برای Microsoft Defender منتشر کرد. این نقص امنیتی امکان ارتقای سطح دسترسی تا سطح SYSTEM را برای مهاجمان فراهم می‌کرد. با این حال، پژوهشگر امنیتی کشف‌کننده RoguePlanet اعلام کرده است که تغییرات جدید Defender ممکن است در برخی شرایط، باعث پر شدن کامل فضای ذخیره‌سازی سیستم شوند.

مایکروسافت آسیب‌پذیری RoguePlanet را برطرف کرد

مایکروسافت آسیب‌پذیری RoguePlanet را با انتشار نسخه 1.1.26060.3008 از Microsoft Malware Protection Engine (mpengine.dll) برطرف کرده است. این نقص با امتیاز CVSS 7.8 ثبت شده است.

پژوهشگر امنیتی Chaotic Eclipse که با نام NightmareEclipse نیز شناخته می‌شود، نخستین بار RoguePlanet را افشا کرد. او اعلام کرد که این آسیب‌پذیری از یک Race Condition در موتور ضدبدافزار مایکروسافت سوءاستفاده می‌کند. مهاجم پس از بهره‌برداری می‌تواند یک Shell با دسترسی SYSTEM اجرا کند. در نتیجه، اجرای کد دلخواه و انجام عملیات غیرمجاز امکان‌پذیر می‌شود.

این پژوهشگر همچنین تأکید کرد که اکسپلویت روی نسخه‌های به‌روز Windows 10 و Windows 11 نیز کار می‌کند. به گفته او، فعال یا غیرفعال بودن قابلیت Real-Time Protection نیز مانع موفقیت حمله نمی‌شود.

مایکروسافت اعلام کرده است که کاربران نیازی به نصب دستی این به‌روزرسانی ندارند. موتور Microsoft Defender به‌طور خودکار آخرین نسخه را دریافت و نصب می‌کند.

RoguePlanet چهارمین آسیب‌پذیری افشاشده Defender است

RoguePlanet چهارمین آسیب‌پذیری مهمی است که Chaotic Eclipse طی ماه‌های اخیر منتشر کرده است. او پیش از این نیز آسیب‌پذیری‌های BlueHammer، UnDefend و RedSun را گزارش کرده بود. مایکروسافت برای هر سه مورد نیز وصله امنیتی منتشر کرده است.

انتشار این آسیب‌پذیری‌ها اختلاف میان این پژوهشگر و مایکروسافت را افزایش داده است. مایکروسافت پیش‌تر از نحوه افشای عمومی این نقص‌ها انتقاد کرده بود و آن را مغایر با اصول افشای مسئولانه می‌دانست.

پژوهشگر از نقص جدید پس از نصب وصله خبر داد

تنها یک روز پس از انتشار وصله، NightmareEclipse ادعا کرد که تغییرات امنیتی جدید Defender رفتار غیرمنتظره‌ای ایجاد کرده‌اند.

به گفته او، قابلیت‌های جدید Defense-in-Depth در برخی شرایط باعث نشت ۸ بایت داده هنگام باز شدن فایل می‌شوند. این نشت در حال حاضر تنها برای درایورها قابل مشاهده است، اما نگرانی اصلی به نحوه مدیریت فایل‌های Zone.Identifier مربوط می‌شود.

چگونه فضای دیسک پر می‌شود؟

Windows Defender هنگام اسکن و قرنطینه فایل‌ها، محدودیت مشخصی برای اندازه فایل‌ها در نظر می‌گیرد. این محدودیت از پر شدن فضای ذخیره‌سازی جلوگیری می‌کند.

با این حال، NightmareEclipse می‌گوید فایل‌های Zone.Identifier از این محدودیت مستثنا هستند. این فایل‌ها از نوع Alternate Data Stream (ADS) محسوب می‌شوند و Windows برای ثبت منشأ فایل‌های دانلودشده از اینترنت از آن‌ها استفاده می‌کند.

در سناریوی حمله، مهاجم یک سرور SMB مخرب راه‌اندازی می‌کند. سپس فایل آلوده را همراه با یک فایل Zone.Identifier بسیار بزرگ در اختیار Defender قرار می‌دهد. سرور در میانه انتقال داده پاسخ نمی‌دهد، اما اتصال را باز نگه می‌دارد.

در این شرایط، Windows Defender فایل را در حافظه موقت خود نگه می‌دارد و به نوشتن داده ادامه می‌دهد. این فرآیند می‌تواند تمام فضای خالی دیسک را اشغال کند. هرچند سیستم لزوماً از کار نمی‌افتد، اما بسیاری از برنامه‌ها و سرویس‌های Windows به دلیل کمبود فضای ذخیره‌سازی دچار اختلال خواهند شد.

سیستم‌های متأثر

این پژوهشگر اعلام کرده است که این رفتار را روی نسخه‌های زیر بازتولید کرده است:

  • Windows 11 نسخه 25H2

  • Windows Server 2025

او همچنین در حال بررسی اجرای همین سناریو از طریق WebDAV است تا نیاز به احراز هویت SMB نیز حذف شود.

واکنش مایکروسافت

مایکروسافت هنوز ادعای پژوهشگر درباره این نقص جدید را تأیید یا رد نکرده است. با این حال، این شرکت از کاربران خواسته است همواره آخرین نسخه Microsoft Defender را نصب کنند تا جدیدترین اصلاحات امنیتی به‌صورت خودکار روی سیستم اعمال شوند.

جمع‌بندی

وصله CVE-2026-50656 یکی از مهم‌ترین آسیب‌پذیری‌های اخیر Windows Defender را برطرف می‌کند و مانع از سوءاستفاده مهاجمان برای دستیابی به سطح دسترسی SYSTEM می‌شود. با این حال، ادعای کشف یک نقص جدید پس از انتشار این به‌روزرسانی، توجه جامعه امنیت سایبری را دوباره به Defender جلب کرده است. اگر مایکروسافت این گزارش را تأیید کند، احتمال انتشار یک اصلاحیه جدید برای رفع این مشکل دور از انتظار نخواهد بود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات