كشف الباحث الأمني المجهول الهوية المعروف باسم Chaotic Eclipse (أو Nightmare-Eclipse) عن ثغرة صفرية جديدة في Microsoft Defender أطلق عليها اسم RoguePlanet، عبر نشر برهان إثبات المفهوم (PoC) على حساب جديد في GitHub تحت اسم “MSNightmare”.
الثغرة تعتمد على شرط سباق (Race Condition)، ما يجعل نجاح الاستغلال غير مضمون دائمًا، إلا أن الباحث أكد أنه حقق نسبة نجاح كاملة على بعض الأجهزة بينما واجه صعوبة على أخرى. في حال نجاح الاستغلال، يحصل المهاجم على قشرة أوامر (Shell) بصلاحيات SYSTEM، ما يتيح له تنفيذ تعليمات برمجية عشوائية أو القيام بأفعال غير مصرح بها.
الأنظمة المتأثرة وسيناريوهات الاستغلال
تم اختبار الاستغلال على أنظمة Windows 10 وWindows 11 المحدثة بآخر ترقيعات يونيو 2026، ما يعني أن الثغرة تعمل حتى على النسخ المحدثة بالكامل.
أما بالنسبة لـ Windows Server، فقد أوضح الباحث أن الاستغلال لا يعمل بصيغته الحالية لأن المستخدمين العاديين لا يمكنهم تركيب صور ISO، لكنه أكد أن الخوادم أيضًا معرضة للخطر وأن الاستغلال يحتاج إلى إعادة تصميم ليعمل عليها.
خلفية الصراع بين الباحث ومايكروسوفت
الثغرة الجديدة تأتي ضمن سلسلة من الثغرات التي كشف عنها Chaotic Eclipse في الأشهر الماضية، مثل:
- BlueHammer (CVE-2026-33825)
- UnDefend (CVE-2026-45498)
- RedSun (CVE-2026-41091)
هذه الإفصاحات غير المنسقة يُنظر إليها على أنها جزء من رد فعل انتقامي بعد خلاف بين الباحث ومايكروسوفت، حيث اتهم الشركة بإلغاء وصوله إلى حسابه في Microsoft Security Response Center (MSRC)، وتجاهل تقاريره، وحرمانه من التعويض، بل و”تشويه سمعته”.
في منشورات موقعة تشفيرياً على مدونته، عبّر الباحث عن استيائه من طريقة تعامل مايكروسوفت مع عملية الإفصاح، مشيرًا إلى أن محاولاته أنهكت صحته النفسية والجسدية قبل أن ينجح في تطوير البرهان الكامل للاستغلال.
ردود الفعل من المجتمع الأمني ومايكروسوفت
الباحث الأمني Will Dormann أكد عبر منصة Mastodon أن الاستغلال “ليس موثوقًا بنسبة 100%” لكنه نجح من المحاولة الأولى لديه.
في المقابل، أدانت مايكروسوفت هذه الإفصاحات العلنية، معتبرة أنها “غير مبررة إطلاقًا” وتضع المستخدمين في “مخاطر غير ضرورية”. وأوضحت الشركة في بيان رسمي أنها لا تنوي ملاحقة الباحثين قضائيًا لمجرد نشر أبحاثهم، لكنها ستتعاون مع السلطات إذا نتج عن ذلك نشاط خبيث يضر العملاء.
كما شددت مايكروسوفت على التزامها بمبدأ الإفصاح المنسق عن الثغرات (Coordinated Vulnerability Disclosure) باعتباره الأساس لحماية المستخدمين وتحسين المنتجات، مؤكدة أنها تحقق في الثغرة وتعمل على تحديث المنتجات المتأثرة بأسرع وقت ممكن.
