امنیت ویندوزبسته شواهدJul 11, 2026, 8:20 PM· 4 دقیقه مطالعه· #1 از 3 در فناوری

بسته شواهد: چگونه مایکروسافت آسیب‌پذیری روز صفر «RoguePlanet» را در ویندوز دیفندر خنثی کرد

مایکروسافت یک وصله خارج از برنامه (Out-of-band) برای CVE-2026-50656، یک نقص حیاتی ارتقاء امتیاز در ویندوز دیفندر، منتشر کرده است. در اینجا شواهد فنی مربوط به نحوه عملکرد این اکسپلویت، چگونگی خنثی‌سازی آن توسط وصله، و نحوه تأیید محافظت سیستم شما ارائه شده است.

به قلم تیم سردبیری کوهستان

تیم‌های امنیتی سازمانی 40%محققان مستقل آسیب‌پذیری 30%مدافعان اکوسیستم 30%
تیم‌های امنیتی سازمانی
تمرکز بر استقرار سریع وصله‌ها و تقویت معماری در برابر نقص‌های منطقی.
محققان مستقل آسیب‌پذیری
تمرکز بر اهمیت آزمایش خصمانه و اصطکاک موجود در برنامه‌های پاداش باگ شرکت‌ها.
مدافعان اکوسیستم
تمرکز بر اصلاح خودکار و محافظت شفاف از پایگاه گسترده‌تر مصرف‌کنندگان.

زوایای پوشش‌داده‌نشده

  • · کاربران عادی ویندوز که بدون پیگیری مشاوره‌های امنیتی، به به‌روزرسانی‌های خودکار متکی هستند.
  • · فروشندگان آنتی‌ویروس شخص ثالث که محصولاتشان ممکن است با نقص‌های منطقی شرایط مسابقه مشابهی روبرو شوند.

چرا مهم است

اگرچه این آسیب‌پذیری به مهاجمان اجازه دسترسی کامل به سطح SYSTEM را می‌داد، اما انتشار خودکار وصله مایکروسافت به این معنی است که اکثر کاربران بدون هیچ اقدامی محافظت شده‌اند. درک مکانیسم‌های این نقص به مدافعان سازمانی کمک می‌کند تا محیط‌های خود را در برابر حملات شرایط مسابقه (race-condition) مشابه ایمن کنند.

نکات کلیدی

  • مایکروسافت یک وصله خارج از برنامه برای CVE-2026-50656، یک آسیب‌پذیری روز صفر در ویندوز دیفندر که به نام RoguePlanet شناخته می‌شود، منتشر کرد.
  • این نقص به یک مهاجم محلی اجازه می‌داد با سوءاستفاده از شرایط مسابقه زمان بررسی تا زمان استفاده (TOCTOU)، امتیازات خود را به دسترسی کامل SYSTEM ارتقا دهد.
  • این وصله به طور خودکار از طریق Windows Update به عنوان نسخه 1.1.26060.3008 موتور محافظت در برابر بدافزار مایکروسافت ارائه شد.
  • سیستم‌هایی که نرم‌افزار آنتی‌ویروس شخص ثالث را با دیفندر غیرفعال اجرا می‌کنند، عموماً تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.
  • این اکسپلویت توسط یک محقق ناشناس در بحبوحه اختلاف مداوم با مایکروسافت بر سر شیوه‌های افشای آسیب‌پذیری منتشر شد.
CVE-2026-50656
شناسه آسیب‌پذیری
7.8
امتیاز شدت پایه CVSS 4.0
1.1.26060.3008
نسخه ایمن موتور

مایکروسافت رسماً یک به‌روزرسانی امنیتی خارج از برنامه (out-of-band) را برای خنثی‌سازی «RoguePlanet»، یک آسیب‌پذیری روز صفر با شدت بالا در موتور اسکن ویندوز دیفندر، منتشر کرده است. این نقص که با شناسه CVE-2026-50656 پیگیری می‌شود، به مهاجمی با دسترسی کاربر استاندارد اجازه می‌داد کنترل کامل یک دستگاه ویندوزی را در دست بگیرد.[1][2]

این آسیب‌پذیری نه از یک خطای کدنویسی سنتی، بلکه از یک نقص منطقی پیچیده در نحوه مدیریت اسکن فایل و عملیات قرنطینه توسط ویندوز دیفندر ناشی شد. مهاجم با سوءاستفاده از یک شرایط مسابقه (race condition) می‌توانست مؤلفه امنیتی با بالاترین امتیاز سیستم را فریب دهد تا کد مخرب را به نمایندگی از او اجرا کند.[4]

این انتشار نشان‌دهنده اوج یک بن‌بست بسیار علنی و چندماهه بین مایکروسافت و یک محقق امنیتی ناشناس به نام «Nightmare Eclipse» است. از آوریل ۲۰۲۶، این محقق مجموعه‌ای از اکسپلویت‌های روز صفر – از جمله نقص‌هایی با نام‌های BlueHammer، RedSun و YellowKey – را در یک کمپین خصمانه منتشر کرده که در اعتراض به سیاست‌های پاداش باگ و افشای آسیب‌پذیری مایکروسافت بوده است.[4][6]

RoguePlanet هفتمین و مسلماً پیچیده‌ترین اکسپلویت در این مجموعه است. برخلاف آسیب‌پذیری‌های قبلی که متکی بر خرابی حافظه بودند، RoguePlanet یک شرایط مسابقه (TOCTOU) در سطح طراحی است. این اکسپلویت از ویژگی‌های قانونی ویندوز علیه دفاعیات خود سیستم‌عامل استفاده می‌کند.[2][4]

بسته شواهد مربوط به CVE-2026-50656 یک زنجیره حمله دقیق را نشان می‌دهد. این آسیب‌پذیری نیازمند دسترسی محلی است؛ مهاجم باید از قبل در دستگاه جای پایی داشته باشد، مانند یک حساب کاربری استاندارد یا آلودگی بدافزار در مرحله قبل. این نقص دسترسی اولیه را فراهم نمی‌کند، بلکه مسیری برای ارتقاء امتیازات به NT AUTHORITY\SYSTEM است.[3]

این اکسپلویت موتور محافظت در برابر بدافزار مایکروسافت (mpengine.dll)، مؤلفه اصلی که قابلیت‌های اسکن دیفندر را تأمین می‌کند، دستکاری می‌کند. هنگامی که دیفندر یک فایل مشکوک را شناسایی می‌کند، یک گردش کار اصلاحی را آغاز می‌کند که شامل ایجاد و دسترسی به مصنوعات قرنطینه است.[2][5]

برای اجرای حمله، RoguePlanet از نقاط بازتجزیه NTFS (NTFS reparse points) – به ویژه اتصالات دایرکتوری (directory junctions) – سوءاستفاده می‌کند که می‌توانند مسیرهای فایل را به صورت شفاف تغییر دهند. این اکسپلویت دیفندر را مجبور می‌کند تا یک مصنوع قرنطینه متعلق به SYSTEM را در داخل پوشه‌ای که توسط مهاجم کنترل می‌شود، ایجاد کند.[2]

این اکسپلویت دیفندر را مجبور می‌کند تا یک مصنوع قرنطینه متعلق به SYSTEM را در داخل پوشه‌ای که توسط مهاجم کنترل می‌شود، ایجاد کند.

مکانیسم حیاتی متکی بر «قفل‌های فرصت‌طلبانه» (oplocks) است. Oplocks به یک فرآیند در حالت کاربر اجازه می‌دهد تا دسترسی دیفندر به فایل را در یک لحظه دقیق و قابل تکرار متوقف کند. این امر آنچه را که معمولاً یک مسابقه زمانی غیرقابل پیش‌بینی است، به یک پنجره فرصت قطعی و کنترل‌شده تبدیل می‌کند.[2]

در طول این پنجره متوقف شده، مهاجم اتصال دایرکتوری را عوض می‌کند تا به یک مسیر حیاتی سیستم اشاره کند. هنگامی که دیفندر عملیات خود را از سر می‌گیرد، بار داده (payload) را در مکانی می‌نویسد که از نظر ساختاری با یک فایل اجرایی قانونی ویندوز، مانند ابزار گزارش خطای ویندوز (WER)، یکسان است.[2]

در نهایت، اکسپلویت وظیفه زمان‌بندی شده WER QueueReporting را فعال می‌کند که با امتیازات SYSTEM اجرا می‌شود. از آنجایی که بار داده در مسیر مورد انتظار کاشته شده است، سیستم کد مهاجم را با بالاترین مجوزهای ممکن اجرا می‌کند و کنترل کامل میزبان را به دست می‌آورد.[2][3]

وصله خارج از برنامه مایکروسافت با تقویت نحوه حل لینک‌های فایل توسط موتور قبل از دسترسی به آنها، علت اصلی این آسیب‌پذیری «دنبال کردن لینک» (Link Following) (طبقه‌بندی شده به عنوان CWE-59) را برطرف می‌کند. این اصلاح از طریق به‌روزرسانی موتور محافظت در برابر بدافزار مایکروسافت ارائه شد و نسخه ایمن را به 1.1.26060.3008 رساند.[3][7]

برای اکثریت قریب به اتفاق کاربران، این به‌روزرسانی نیازی به دخالت دستی ندارد. ویندوز دیفندر به طور خودکار به‌روزرسانی‌های مربوط به تعاریف بدافزار و موتور اسکن اصلی خود را از طریق زیرساخت استاندارد Windows Update دانلود و نصب می‌کند.[1][7]

سیستم‌هایی که از راه‌حل‌های آنتی‌ویروس شخص ثالث مانند Malwarebytes یا CrowdStrike استفاده می‌کنند، در صورتی که محافظت بلادرنگ ویندوز دیفندر غیرفعال باشد، عموماً تحت تأثیر این اکسپلویت خاص قرار نمی‌گیرند. این آسیب‌پذیری به طور کامل در موتور اسکن دیفندر قرار دارد، که هنگام فعال بودن یک ارائه‌دهنده شخص ثالث، غیرفعال باقی می‌ماند.[7]

با وجود در دسترس بودن عمومی اکسپلویت اثبات مفهوم، وضعیت بهره‌برداری واقعی در دنیای واقعی همچنان محل بحث است. در حالی که شرکت امنیتی Qualys گزارش داد که RoguePlanet در حملات مورد سوءاستفاده قرار گرفته است، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) هنوز CVE-2026-50656 را به کاتالوگ آسیب‌پذیری‌های شناخته شده مورد سوءاستفاده (Known Exploited Vulnerabilities) خود اضافه نکرده است، و مایکروسافت همچنان معتقد است که بهره‌برداری گسترده‌ای رخ نداده است.[6]

تیم‌های امنیتی سازمانی برای کاهش نقص‌های منطقی در سطح طراحی، به استقرار سریع وصله‌ها متکی هستند.
تیم‌های امنیتی سازمانی برای کاهش نقص‌های منطقی در سطح طراحی، به استقرار سریع وصله‌ها متکی هستند.

حل آسیب‌پذیری RoguePlanet تنش مداوم بین محققان امنیتی مستقل و فروشندگان بزرگ نرم‌افزار را برجسته می‌کند. با این حال، استقرار سریع این وصله خارج از برنامه، انعطاف‌پذیری مکانیسم‌های به‌روزرسانی خودکار مدرن را نشان می‌دهد و تضمین می‌کند که نقاط پایانی سازمانی و مصرف‌کننده از اکسپلویت‌های منطقی پیچیده محافظت می‌شوند.[1][6]

روند رویداد

  1. April 2026

    یک محقق ناشناس در بحبوحه اختلاف با مایکروسافت، انتشار مجموعه‌ای از اکسپلویت‌های روز صفر ویندوز را آغاز می‌کند.

  2. Mid-May 2026

    مایکروسافت به طور پنهانی اقدامات کاهشی داخلی را در دیفندر برای خنثی کردن حملات مبتنی بر اتصال (junction-based) مستقر می‌کند.

  3. Early June 2026

    محقق، اکسپلویت اثبات مفهوم RoguePlanet را منتشر می‌کند و اقدامات کاهشی ماه می را دور می‌زند.

  4. June 16, 2026

    مایکروسافت رسماً آسیب‌پذیری CVE-2026-50656 را تأیید می‌کند و توسعه وصله را تأیید می‌کند.

  5. July 8, 2026

    مایکروسافت یک به‌روزرسانی خارج از برنامه برای موتور محافظت در برابر بدافزار منتشر می‌کند و نقص را خنثی می‌سازد.

بررسی عمیق دیدگاه‌ها

تیم‌های امنیتی سازمانی

تمرکز بر استقرار سریع وصله‌ها و تقویت معماری در برابر نقص‌های منطقی.

برای مدافعان شرکتی، RoguePlanet نشان‌دهنده دسته‌ای ناامیدکننده از آسیب‌پذیری‌ها است که از حفاظت‌های سنتی حافظه عبور می‌کنند. از آنجایی که این اکسپلویت از ویژگی‌های قانونی ویندوز مانند اتصالات NTFS و قفل‌های فرصت‌طلبانه استفاده می‌کند، تشخیص رفتاری دشوار است. تیم‌های امنیتی بر نیاز به مدیریت سریع و خودکار وصله‌ها تأکید می‌کنند، زیرا کاهش دستی نقص‌های سطح طراحی اغلب در مقیاس بزرگ غیرعملی است.

محققان مستقل آسیب‌پذیری

تمرکز بر اهمیت آزمایش خصمانه و اصطکاک موجود در برنامه‌های پاداش باگ شرکت‌ها.

جامعه محققان، کمپین «Nightmare Eclipse» را نشانه‌ای از یک اکوسیستم افشای شکسته می‌دانند. بسیاری از تحلیلگران مستقل استدلال می‌کنند که برنامه‌های پاداش باگ شرکت‌ها اغلب در پاسخگویی کند هستند، برای نقص‌های منطقی پیچیده پاداش کافی نمی‌دهند و اصلاحات داخلی خاموش را بر مشاوره‌های عمومی شفاف اولویت می‌دهند. از این منظر، انتشار عمومی اکسپلویت‌های اثبات مفهوم، فروشندگان را مجبور به اقدام قاطع می‌کند.

مدافعان اکوسیستم

تمرکز بر اصلاح خودکار و محافظت شفاف از پایگاه گسترده‌تر مصرف‌کنندگان.

ارائه‌دهندگان پلتفرم و مدافعان امنیت مصرف‌کننده، حفاظت یکپارچه و نامرئی را در اولویت قرار می‌دهند. مایکروسافت با ارائه وصله RoguePlanet مستقیماً از طریق موتور محافظت در برابر بدافزار مایکروسافت و از طریق Windows Update، اطمینان حاصل کرد که میلیون‌ها نقطه پایانی بدون نیاز به تعامل کاربر ایمن شدند. این گروه استدلال می‌کند که اگرچه انتشار عمومی روز صفرها ریسک کوتاه‌مدتی ایجاد می‌کند، اما زیرساخت به‌روزرسانی خودکار، شبکه ایمنی نهایی است.

آنچه نمی‌دانیم

  • اینکه آیا این آسیب‌پذیری قبل از وصله به طور فعال مورد سوءاستفاده قرار گرفته بود یا خیر، زیرا گزارش‌های اطلاعات تهدید متناقض هستند.
  • اینکه آیا محققی که با نام «Nightmare Eclipse» شناخته می‌شود، قصد دارد اکسپلویت‌های روز صفر بیشتری را با هدف قرار دادن مؤلفه‌های ویندوز منتشر کند.
  • اینکه آیا مایکروسافت در پاسخ به این کمپین خصمانه، سیاست‌های پاداش باگ و افشای خود را تعدیل خواهد کرد.

اصطلاحات کلیدی

زمان بررسی تا زمان استفاده (TOCTOU)
یک نقص نرم‌افزاری که در آن سیستم وضعیت امنیتی یک فایل را بررسی می‌کند، اما فایل به طور مخرب قبل از اینکه سیستم واقعاً از آن استفاده کند، تغییر داده می‌شود.
ارتقاء امتیاز محلی (LPE)
یک تکنیک حمله که در آن کاربری با حقوق دسترسی محدود، سیستم را فریب می‌دهد تا کنترل مدیریتی یا کامل را به او اعطا کند.
قفل فرصت‌طلبانه (Oplock)
یک ویژگی ویندوز که به یک برنامه اجازه می‌دهد تا دسترسی برنامه دیگری به یک فایل را به طور موقت متوقف کند، که در اینجا توسط مهاجمان برای کنترل زمان‌بندی اکسپلویت استفاده می‌شود.
نقطه بازتجزیه NTFS
یک ویژگی سیستم فایل ویندوز که مانند یک میانبر عمل می‌کند و به طور یکپارچه یک برنامه را از یک پوشه به پوشه دیگر هدایت می‌کند.

پرسش‌های متداول

چگونه بفهمم رایانه شخصی من در برابر RoguePlanet محافظت شده است؟

می‌توانید نسخه موتور محافظت در برابر بدافزار مایکروسافت خود را در ویندوز سکیوریتی (Windows Security) زیر بخش «درباره» (About) بررسی کنید. اگر نسخه 1.1.26060.3008 یا بالاتر باشد، محافظت شده‌اید.

آیا اگر از آنتی‌ویروس دیگری استفاده کنم، این آسیب‌پذیری بر من تأثیر می‌گذارد؟

به طور کلی خیر. اگر یک آنتی‌ویروس شخص ثالث فعال باشد و محافظت بلادرنگ ویندوز دیفندر غیرفعال باشد، موتور اسکن آسیب‌پذیر در حال اجرا نیست.

آیا یک هکر می‌تواند از این نقص برای نفوذ از راه دور به رایانه من استفاده کند؟

خیر. RoguePlanet یک نقص ارتقاء امتیاز محلی است، به این معنی که مهاجم باید از قبل نوعی دسترسی به دستگاه شما داشته باشد تا بتواند از آن سوءاستفاده کند.

منابع

پوشش منابع

7 منبع

3 دیدگاه شناسایی‌شده

تیم‌های امنیتی سازمانی 40%محققان مستقل آسیب‌پذیری 30%مدافعان اکوسیستم 30%
  1. [1]PCWorldمدافعان اکوسیستم

    Microsoft patches RoguePlanet Defender zero-day vulnerability

    مطالعه در PCWorld
  2. [2]Cyderesتیم‌های امنیتی سازمانی

    RoguePlanet: Analyzing the Windows Defender Zero-Day

    مطالعه در Cyderes
  3. [3]Kudelski Securityتیم‌های امنیتی سازمانی

    CVE-2026-50656: Technical Analysis of the RoguePlanet Vulnerability

    مطالعه در Kudelski Security
  4. [4]Picus Securityمحققان مستقل آسیب‌پذیری

    RoguePlanet Zero-Day: The Seventh Exploit in an Adversarial Campaign

    مطالعه در Picus Security
  5. [5]Security Affairsمحققان مستقل آسیب‌پذیری

    Microsoft fixes RoguePlanet zero-day in Windows Defender

    مطالعه در Security Affairs
  6. [6]Dark Readingتیم‌های امنیتی سازمانی

    Microsoft Patches 'RoguePlanet' Zero-Day Amid Researcher Feud

    مطالعه در Dark Reading
  7. [7]Malwarebytesمدافعان اکوسیستم

    Microsoft issues out-of-band patch for RoguePlanet zero-day

    مطالعه در Malwarebytes
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.