كشف باحث أمني عن ثغرة خطيرة من نوع “يوم الصفر” في نظام ويندوز أطلق عليها اسم RoguePlanet (يقصد بها الكوكب المارق أو الشارد) وذلك بعد فترة قصيرة من طرح مايكروسوفت تحديثاتها الأمنية الدورية لشهر يونيو.
وبحسب تقرير نشره موقع securityweek، تستغل الثغرة آلية داخل Microsoft Defender لتمكين المهاجم من الحصول على صلاحيات أعلى على الجهاز المستهدف. ما قد يمنحه قدرة واسعة على التحكم بالنظام.
كما يعتمد الهجوم على استغلال خلل مرتبط بتزامن العمليات، الأمر الذي يسمح بتنفيذ إجراءات غير مصرح بها بعد معالجة ملفات معينة من قبل برنامج الحماية.
ثغرة RoguePlanet في ويندوز
أشار الباحث أنه تم التحقق من فعالية الثغرة على نسخ محدثة بالكامل من ويندوز 10 و Windows 11. وبالفعل نجحت في منح صلاحيات النظام الكاملة رغم وجود أحدث التصحيحات الأمنية.
وأوضح أن الثغرة يمكن أن يتم استغلالها لتجاوز طبقة الحماية التي يوفرها BitLocker باستخدام آلية تعتمد على التلاعب بملفات نظام NTFS.
وعندما يتولى Microsoft Defender فحص الملف المشبوه ومعالجته. تستغل الثغرة هذه العملية لنقل الملف تلقائيًا إلى موقع آخر بطريقة تسمح بمواصلة الهجوم بعد انتهاء الفحص الأمني.
تجدر الإشارة إلى أن الثغرة الجديدة تأتي بالتزامن مع قيام مايكروسوفت بإصلاح ثغرتين أمنيتين أخريين سبق أن كشف عنهما الباحث نفسه ضمن تحديثات هذا الشهر. الأمر الذي يفسر سر التوتر المستمر بين الشركة وهذا الباحث الأمني الذي يبحث طوال الوقت عن ثغرات لنظام ويندوز.
أخيرا، ينصح الخبراء كل من المستخدمين وكذلك المؤسسات بمتابعة التحديثات الأمنية القادمة. وتطبيق سياسات الحماية المتقدمة وتقليل منح الصلاحيات الإدارية غير الضرورية. للحد من مخاطر أي محاولات استغلال محتملة إلى حين صدور تحديث رسمي لسد الثغرة من مايكروسوفت.
