نشر باحث أمني يعمل تحت اسم مستعار “Chaotic Eclipse” دليلا على استغلال ثغرة جديدة في برنامج Microsoft Defender تمنح أي مستخدم عادي صلاحيات SYSTEM الكاملة على أنظمة Windows 10 وWindows 11 وWindows Server، وذلك حتى بعد تطبيق تحديثات أبريل 2026، احتجاجا على أسلوب مايكروسوفت في التعامل مع الباحثين الأمنيين المستقلين. وجاء الكشف عن هذه الثغرة التي أُطلق عليها اسم RedSun ليضع ملايين المستخدمين في مواجهة خطر حقيقي لا يوجد حتى الآن أي إصلاح رسمي له.
من هو Chaotic Eclipse وما قصة الخلاف مع مايكروسوفت؟
انضم الباحث المعروف بـ”Nightmare-Eclipse” أو “Chaotic Eclipse” إلى منصة GitHub في السابع والعشرين من مارس 2026، ونشر في أقل من ثلاثة أسابيع ثلاث أدوات استغلال، جميعها تستهدف برنامج Microsoft Defender مباشرة.
يعبّر الباحث في بيانه المرفق بالأكواد المنشورة عن إحباطه البالغ من أسلوب مايكروسوفت في التعامل مع الثغرات المُبلَّغ عنها، متهما الشركة بالإهمال وسوء معاملة الباحثين المستقلين. في المقابل، أصدر مركز استجابة مايكروسوفت الأمني بيانا مقتضبا أكد فيه التزامه بحماية العملاء والإفصاح المنسق عن الثغرات، دون أن يعلق على اتهامات الباحث.
ومن اللافت أن مايكروسوفت نسبت اكتشاف ثغرة BlueHammer إلى باحث آخر يدعى Zen Dodd، لا إلى “Chaotic Eclipse”، وهو ما زاد من حدة الخلاف.
كيف تعمل ثغرة RedSun تقنيا؟
تُعدّ RedSun تقنية لرفع امتيازات محليا تستغل آلية الرجوع بالملفات السحابية في Windows Defender. فعندما يكتشف Defender ملفا يحمل علامة سحابية، يحاول استعادته إلى موقعه الأصلي دون التحقق من صحة المسار الهدف، مما يتيح لأي مهاجم إعادة توجيه عملية الكتابة نحو مجلد النظام المحمي.
تسير سلسلة الاستغلال كما يلي: يبدأ المهاجم بتشغيل اكتشاف Defender عبر ملف مُعدّ خصيصا، ثم يستبدله بعنصر نائب سحابي عبر واجهة Windows Cloud Files API. وبينما يبدأ Defender عملية الرجوع، يستخدم المهاجم تقنيات معالجة نظام الملفات، تشمل NTFS junctions وopportunistic locks، لإيقاف التنفيذ مؤقتا وإعادة توجيه المسار الهدف نحو C:\Windows\System32. حين يستأنف Defender العمل، يتبع المسار المُعاد توجيهه ويكتب الملف بامتيازات SYSTEM.
وقد وصف الباحث نفسه هذا السلوك بسخرية لاذعة قائلا: “حين يُدرك Windows Defender أن الملف الخبيث يحمل علامة سحابية، يقرر لسبب غبي ومضحك أن يُعيد كتابة الملف الذي وجده في موقعه الأصلي.”
ثلاث ثغرات في 18 يوما.. مجموعة أدوات هجومية متكاملة
نشر Nightmare-Eclipse ثلاث أدوات منسقة في ثمانية عشر يوما تستهدف جميعها نفس نقطة الهجوم في Windows Defender: BlueHammer التي تُمكّن من رفع الامتيازات عبر قراءة ملف مميز، وRedSun التي تُمكّن من رفع الامتيازات عبر كتابة ملف مميز، وUnDefend وهي أداة رفض خدمة تستهدف آلية تحديث Defender حيث يعمل وضعها السلبي على إيقاف جميع تحديثات التعريفات بصمت، فيما يُعطّل وضعها الهجومي Defender بالكامل حين يُدفع بتحديث رئيسي للمنصة، مع إبلاغ وحدة تحكم إدارة EDR كذبا بأن Defender يعمل بصحة جيدة.
مجتمعة، تُشكّل هذه الأدوات مجموعة هجومية متكاملة: رفع الامتيازات إلى SYSTEM، وتنفيذ كود عشوائي، ومنع Defender من اكتشاف أي منها. وسلسلة الاستغلال هذه وظيفية اليوم مع عدم توفر أي إصلاح لـRedSun أو UnDefend.
استغلال في البرية.. والخطر يتصاعد
رصدت شركة Huntress Labs ثلاث ثغرات تُستغل فعليا في الهجمات الإلكترونية، إذ كان BlueHammer يُستخدم منذ العاشر من أبريل 2026، ثم لوحظ استخدام RedSun وUnDefend في السادس عشر من أبريل. المهاجمون حذرون ومتمرسون؛ فقد رصد الباحثون كيف أنهم يُسقطون ملفات الاستغلال في مجلدي الصور والتنزيلات ويُعيدون تسميتها لتفادي الكشف.
أكد الباحث الأمني ويل دورمان أن الاستغلال يجري رصده على منصة VirusTotal، غير أنه يعتمد بشكل كبير على ملف اختبار EICAR، وهو ما يمكن التحايل عليه جزئيا عبر تشفير السلسلة النصية. وأشار إلى أن Defender من مايكروسوفت “لا يكتشف الاستغلال في كلتا الحالتين حاليا.”
تنصح فرق الأمن بمراقبة نشاط كتابة ملفات Defender غير الاعتيادي، ولا سيما عمليات cldapi.dll التي تستهدف المجلد C:\Windows\System32، وتطبيق قواعد كشف نقاط النهاية لرصد سلوكيات إعادة التوجيه المدعومة بـoplock في انتظار إصدار مايكروسوفت إصلاحا رسميا.
