كشف الباحث الأمني المعروف باسم Chaotic Eclipse عن ثغرة يوم الصفر جديدة في نظام Windows تحمل الاسم الرمزي MiniPlasma، تتيح للمهاجمين الحصول على صلاحيات SYSTEM حتى على الأجهزة المحدثة بالكامل. هذه الثغرة تأتي بعد سلسلة من الاكتشافات السابقة للباحث نفسه مثل YellowKey وGreenPlasma.
تفاصيل الثغرة ومصدرها
الثغرة تؤثر على برنامج التشغيل cldflt.sys، وهو Cloud Files Mini Filter Driver في ويندوز، وتحديداً في الروتين البرمجي المسمى HsmOsBlockPlaceholderAccess. ورغم أن الباحث الأمني في Google Project Zero James Forshaw كان قد أبلغ مايكروسوفت بهذه المشكلة في سبتمبر 2020، وتم الإعلان عن إصلاحها في ديسمبر 2020 تحت الرمز CVE-2020-17103، إلا أن التحقيقات الأخيرة أظهرت أن نفس الخلل ما زال موجوداً ولم يُعالج فعلياً.
آلية الاستغلال وإثبات المفهوم
أوضح Chaotic Eclipse أنه استخدم إثبات المفهوم الأصلي الذي نشره Forshaw دون أي تعديل تقريباً، وتمكن من تحويله إلى أداة قادرة على فتح SYSTEM shell بشكل موثوق على أجهزته. وأشار إلى أن معدل النجاح قد يختلف لأنه يعتمد على سباق شرطي (Race Condition). الباحث الأمني Will Dormann أكد عبر منصة Mastodon أن الثغرة تعمل بشكل موثوق على أنظمة Windows 11 المحدثة حتى مايو 2026، لكنها لا تعمل على نسخة Insider Preview Canary الأخيرة.
خطورة الثغرة وتأثيرها
الثغرة تصيب جميع إصدارات Windows على الأرجح، وتُعد خطيرة لأنها تمنح المهاجمين وصولاً كاملاً إلى النظام، مما يتيح لهم تنفيذ أوامر حساسة أو تثبيت برمجيات خبيثة بامتيازات عليا. ورغم أن مايكروسوفت عالجت ثغرة مشابهة في نفس المكون في ديسمبر 2025 (CVE-2025-62221)، إلا أن استمرار وجود MiniPlasma يكشف عن ثغرات في عملية التصحيح الأمني.
دلالات على الأمن السيبراني
هذا الاكتشاف يسلط الضوء على التحديات المستمرة في معالجة الثغرات الأمنية في أنظمة التشغيل، خاصة عندما يتم الإعلان عن إصلاحات لا تُطبق بشكل كامل أو يتم التراجع عنها بصمت. كما يؤكد أن ثغرات يوم الصفر في مكونات أساسية مثل برامج التشغيل يمكن أن تمنح المهاجمين قدرة غير مسبوقة على السيطرة على الأنظمة، حتى تلك التي يُفترض أنها محمية عبر التحديثات الأمنية الدورية.
