بسته شواهد: چگونه مایکروسافت آسیبپذیری روز صفر «RoguePlanet» را در ویندوز دیفندر خنثی کرد
مایکروسافت یک وصله خارج از برنامه (Out-of-band) برای CVE-2026-50656، یک نقص حیاتی ارتقاء امتیاز در ویندوز دیفندر، منتشر کرده است. در اینجا شواهد فنی مربوط به نحوه عملکرد این اکسپلویت، چگونگی خنثیسازی آن توسط وصله، و نحوه تأیید محافظت سیستم شما ارائه شده است.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- تیمهای امنیتی سازمانی
- تمرکز بر استقرار سریع وصلهها و تقویت معماری در برابر نقصهای منطقی.
- محققان مستقل آسیبپذیری
- تمرکز بر اهمیت آزمایش خصمانه و اصطکاک موجود در برنامههای پاداش باگ شرکتها.
- مدافعان اکوسیستم
- تمرکز بر اصلاح خودکار و محافظت شفاف از پایگاه گستردهتر مصرفکنندگان.
زوایای پوششدادهنشده
- · کاربران عادی ویندوز که بدون پیگیری مشاورههای امنیتی، به بهروزرسانیهای خودکار متکی هستند.
- · فروشندگان آنتیویروس شخص ثالث که محصولاتشان ممکن است با نقصهای منطقی شرایط مسابقه مشابهی روبرو شوند.
چرا مهم است
اگرچه این آسیبپذیری به مهاجمان اجازه دسترسی کامل به سطح SYSTEM را میداد، اما انتشار خودکار وصله مایکروسافت به این معنی است که اکثر کاربران بدون هیچ اقدامی محافظت شدهاند. درک مکانیسمهای این نقص به مدافعان سازمانی کمک میکند تا محیطهای خود را در برابر حملات شرایط مسابقه (race-condition) مشابه ایمن کنند.
نکات کلیدی
- مایکروسافت یک وصله خارج از برنامه برای CVE-2026-50656، یک آسیبپذیری روز صفر در ویندوز دیفندر که به نام RoguePlanet شناخته میشود، منتشر کرد.
- این نقص به یک مهاجم محلی اجازه میداد با سوءاستفاده از شرایط مسابقه زمان بررسی تا زمان استفاده (TOCTOU)، امتیازات خود را به دسترسی کامل SYSTEM ارتقا دهد.
- این وصله به طور خودکار از طریق Windows Update به عنوان نسخه 1.1.26060.3008 موتور محافظت در برابر بدافزار مایکروسافت ارائه شد.
- سیستمهایی که نرمافزار آنتیویروس شخص ثالث را با دیفندر غیرفعال اجرا میکنند، عموماً تحت تأثیر این آسیبپذیری قرار نمیگیرند.
- این اکسپلویت توسط یک محقق ناشناس در بحبوحه اختلاف مداوم با مایکروسافت بر سر شیوههای افشای آسیبپذیری منتشر شد.
مایکروسافت رسماً یک بهروزرسانی امنیتی خارج از برنامه (out-of-band) را برای خنثیسازی «RoguePlanet»، یک آسیبپذیری روز صفر با شدت بالا در موتور اسکن ویندوز دیفندر، منتشر کرده است. این نقص که با شناسه CVE-2026-50656 پیگیری میشود، به مهاجمی با دسترسی کاربر استاندارد اجازه میداد کنترل کامل یک دستگاه ویندوزی را در دست بگیرد.[1][2]
این آسیبپذیری نه از یک خطای کدنویسی سنتی، بلکه از یک نقص منطقی پیچیده در نحوه مدیریت اسکن فایل و عملیات قرنطینه توسط ویندوز دیفندر ناشی شد. مهاجم با سوءاستفاده از یک شرایط مسابقه (race condition) میتوانست مؤلفه امنیتی با بالاترین امتیاز سیستم را فریب دهد تا کد مخرب را به نمایندگی از او اجرا کند.[4]
این انتشار نشاندهنده اوج یک بنبست بسیار علنی و چندماهه بین مایکروسافت و یک محقق امنیتی ناشناس به نام «Nightmare Eclipse» است. از آوریل ۲۰۲۶، این محقق مجموعهای از اکسپلویتهای روز صفر – از جمله نقصهایی با نامهای BlueHammer، RedSun و YellowKey – را در یک کمپین خصمانه منتشر کرده که در اعتراض به سیاستهای پاداش باگ و افشای آسیبپذیری مایکروسافت بوده است.[4][6]
RoguePlanet هفتمین و مسلماً پیچیدهترین اکسپلویت در این مجموعه است. برخلاف آسیبپذیریهای قبلی که متکی بر خرابی حافظه بودند، RoguePlanet یک شرایط مسابقه (TOCTOU) در سطح طراحی است. این اکسپلویت از ویژگیهای قانونی ویندوز علیه دفاعیات خود سیستمعامل استفاده میکند.[2][4]
بسته شواهد مربوط به CVE-2026-50656 یک زنجیره حمله دقیق را نشان میدهد. این آسیبپذیری نیازمند دسترسی محلی است؛ مهاجم باید از قبل در دستگاه جای پایی داشته باشد، مانند یک حساب کاربری استاندارد یا آلودگی بدافزار در مرحله قبل. این نقص دسترسی اولیه را فراهم نمیکند، بلکه مسیری برای ارتقاء امتیازات به NT AUTHORITY\SYSTEM است.[3]
این اکسپلویت موتور محافظت در برابر بدافزار مایکروسافت (mpengine.dll)، مؤلفه اصلی که قابلیتهای اسکن دیفندر را تأمین میکند، دستکاری میکند. هنگامی که دیفندر یک فایل مشکوک را شناسایی میکند، یک گردش کار اصلاحی را آغاز میکند که شامل ایجاد و دسترسی به مصنوعات قرنطینه است.[2][5]
برای اجرای حمله، RoguePlanet از نقاط بازتجزیه NTFS (NTFS reparse points) – به ویژه اتصالات دایرکتوری (directory junctions) – سوءاستفاده میکند که میتوانند مسیرهای فایل را به صورت شفاف تغییر دهند. این اکسپلویت دیفندر را مجبور میکند تا یک مصنوع قرنطینه متعلق به SYSTEM را در داخل پوشهای که توسط مهاجم کنترل میشود، ایجاد کند.[2]
این اکسپلویت دیفندر را مجبور میکند تا یک مصنوع قرنطینه متعلق به SYSTEM را در داخل پوشهای که توسط مهاجم کنترل میشود، ایجاد کند.
مکانیسم حیاتی متکی بر «قفلهای فرصتطلبانه» (oplocks) است. Oplocks به یک فرآیند در حالت کاربر اجازه میدهد تا دسترسی دیفندر به فایل را در یک لحظه دقیق و قابل تکرار متوقف کند. این امر آنچه را که معمولاً یک مسابقه زمانی غیرقابل پیشبینی است، به یک پنجره فرصت قطعی و کنترلشده تبدیل میکند.[2]
در طول این پنجره متوقف شده، مهاجم اتصال دایرکتوری را عوض میکند تا به یک مسیر حیاتی سیستم اشاره کند. هنگامی که دیفندر عملیات خود را از سر میگیرد، بار داده (payload) را در مکانی مینویسد که از نظر ساختاری با یک فایل اجرایی قانونی ویندوز، مانند ابزار گزارش خطای ویندوز (WER)، یکسان است.[2]
در نهایت، اکسپلویت وظیفه زمانبندی شده WER QueueReporting را فعال میکند که با امتیازات SYSTEM اجرا میشود. از آنجایی که بار داده در مسیر مورد انتظار کاشته شده است، سیستم کد مهاجم را با بالاترین مجوزهای ممکن اجرا میکند و کنترل کامل میزبان را به دست میآورد.[2][3]
وصله خارج از برنامه مایکروسافت با تقویت نحوه حل لینکهای فایل توسط موتور قبل از دسترسی به آنها، علت اصلی این آسیبپذیری «دنبال کردن لینک» (Link Following) (طبقهبندی شده به عنوان CWE-59) را برطرف میکند. این اصلاح از طریق بهروزرسانی موتور محافظت در برابر بدافزار مایکروسافت ارائه شد و نسخه ایمن را به 1.1.26060.3008 رساند.[3][7]
برای اکثریت قریب به اتفاق کاربران، این بهروزرسانی نیازی به دخالت دستی ندارد. ویندوز دیفندر به طور خودکار بهروزرسانیهای مربوط به تعاریف بدافزار و موتور اسکن اصلی خود را از طریق زیرساخت استاندارد Windows Update دانلود و نصب میکند.[1][7]
سیستمهایی که از راهحلهای آنتیویروس شخص ثالث مانند Malwarebytes یا CrowdStrike استفاده میکنند، در صورتی که محافظت بلادرنگ ویندوز دیفندر غیرفعال باشد، عموماً تحت تأثیر این اکسپلویت خاص قرار نمیگیرند. این آسیبپذیری به طور کامل در موتور اسکن دیفندر قرار دارد، که هنگام فعال بودن یک ارائهدهنده شخص ثالث، غیرفعال باقی میماند.[7]
با وجود در دسترس بودن عمومی اکسپلویت اثبات مفهوم، وضعیت بهرهبرداری واقعی در دنیای واقعی همچنان محل بحث است. در حالی که شرکت امنیتی Qualys گزارش داد که RoguePlanet در حملات مورد سوءاستفاده قرار گرفته است، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) هنوز CVE-2026-50656 را به کاتالوگ آسیبپذیریهای شناخته شده مورد سوءاستفاده (Known Exploited Vulnerabilities) خود اضافه نکرده است، و مایکروسافت همچنان معتقد است که بهرهبرداری گستردهای رخ نداده است.[6]

حل آسیبپذیری RoguePlanet تنش مداوم بین محققان امنیتی مستقل و فروشندگان بزرگ نرمافزار را برجسته میکند. با این حال، استقرار سریع این وصله خارج از برنامه، انعطافپذیری مکانیسمهای بهروزرسانی خودکار مدرن را نشان میدهد و تضمین میکند که نقاط پایانی سازمانی و مصرفکننده از اکسپلویتهای منطقی پیچیده محافظت میشوند.[1][6]
روند رویداد
April 2026
یک محقق ناشناس در بحبوحه اختلاف با مایکروسافت، انتشار مجموعهای از اکسپلویتهای روز صفر ویندوز را آغاز میکند.
Mid-May 2026
مایکروسافت به طور پنهانی اقدامات کاهشی داخلی را در دیفندر برای خنثی کردن حملات مبتنی بر اتصال (junction-based) مستقر میکند.
Early June 2026
محقق، اکسپلویت اثبات مفهوم RoguePlanet را منتشر میکند و اقدامات کاهشی ماه می را دور میزند.
June 16, 2026
مایکروسافت رسماً آسیبپذیری CVE-2026-50656 را تأیید میکند و توسعه وصله را تأیید میکند.
July 8, 2026
مایکروسافت یک بهروزرسانی خارج از برنامه برای موتور محافظت در برابر بدافزار منتشر میکند و نقص را خنثی میسازد.
بررسی عمیق دیدگاهها
تیمهای امنیتی سازمانی
تمرکز بر استقرار سریع وصلهها و تقویت معماری در برابر نقصهای منطقی.
برای مدافعان شرکتی، RoguePlanet نشاندهنده دستهای ناامیدکننده از آسیبپذیریها است که از حفاظتهای سنتی حافظه عبور میکنند. از آنجایی که این اکسپلویت از ویژگیهای قانونی ویندوز مانند اتصالات NTFS و قفلهای فرصتطلبانه استفاده میکند، تشخیص رفتاری دشوار است. تیمهای امنیتی بر نیاز به مدیریت سریع و خودکار وصلهها تأکید میکنند، زیرا کاهش دستی نقصهای سطح طراحی اغلب در مقیاس بزرگ غیرعملی است.
محققان مستقل آسیبپذیری
تمرکز بر اهمیت آزمایش خصمانه و اصطکاک موجود در برنامههای پاداش باگ شرکتها.
جامعه محققان، کمپین «Nightmare Eclipse» را نشانهای از یک اکوسیستم افشای شکسته میدانند. بسیاری از تحلیلگران مستقل استدلال میکنند که برنامههای پاداش باگ شرکتها اغلب در پاسخگویی کند هستند، برای نقصهای منطقی پیچیده پاداش کافی نمیدهند و اصلاحات داخلی خاموش را بر مشاورههای عمومی شفاف اولویت میدهند. از این منظر، انتشار عمومی اکسپلویتهای اثبات مفهوم، فروشندگان را مجبور به اقدام قاطع میکند.
مدافعان اکوسیستم
تمرکز بر اصلاح خودکار و محافظت شفاف از پایگاه گستردهتر مصرفکنندگان.
ارائهدهندگان پلتفرم و مدافعان امنیت مصرفکننده، حفاظت یکپارچه و نامرئی را در اولویت قرار میدهند. مایکروسافت با ارائه وصله RoguePlanet مستقیماً از طریق موتور محافظت در برابر بدافزار مایکروسافت و از طریق Windows Update، اطمینان حاصل کرد که میلیونها نقطه پایانی بدون نیاز به تعامل کاربر ایمن شدند. این گروه استدلال میکند که اگرچه انتشار عمومی روز صفرها ریسک کوتاهمدتی ایجاد میکند، اما زیرساخت بهروزرسانی خودکار، شبکه ایمنی نهایی است.
آنچه نمیدانیم
- اینکه آیا این آسیبپذیری قبل از وصله به طور فعال مورد سوءاستفاده قرار گرفته بود یا خیر، زیرا گزارشهای اطلاعات تهدید متناقض هستند.
- اینکه آیا محققی که با نام «Nightmare Eclipse» شناخته میشود، قصد دارد اکسپلویتهای روز صفر بیشتری را با هدف قرار دادن مؤلفههای ویندوز منتشر کند.
- اینکه آیا مایکروسافت در پاسخ به این کمپین خصمانه، سیاستهای پاداش باگ و افشای خود را تعدیل خواهد کرد.
اصطلاحات کلیدی
- زمان بررسی تا زمان استفاده (TOCTOU)
- یک نقص نرمافزاری که در آن سیستم وضعیت امنیتی یک فایل را بررسی میکند، اما فایل به طور مخرب قبل از اینکه سیستم واقعاً از آن استفاده کند، تغییر داده میشود.
- ارتقاء امتیاز محلی (LPE)
- یک تکنیک حمله که در آن کاربری با حقوق دسترسی محدود، سیستم را فریب میدهد تا کنترل مدیریتی یا کامل را به او اعطا کند.
- قفل فرصتطلبانه (Oplock)
- یک ویژگی ویندوز که به یک برنامه اجازه میدهد تا دسترسی برنامه دیگری به یک فایل را به طور موقت متوقف کند، که در اینجا توسط مهاجمان برای کنترل زمانبندی اکسپلویت استفاده میشود.
- نقطه بازتجزیه NTFS
- یک ویژگی سیستم فایل ویندوز که مانند یک میانبر عمل میکند و به طور یکپارچه یک برنامه را از یک پوشه به پوشه دیگر هدایت میکند.
پرسشهای متداول
چگونه بفهمم رایانه شخصی من در برابر RoguePlanet محافظت شده است؟
میتوانید نسخه موتور محافظت در برابر بدافزار مایکروسافت خود را در ویندوز سکیوریتی (Windows Security) زیر بخش «درباره» (About) بررسی کنید. اگر نسخه 1.1.26060.3008 یا بالاتر باشد، محافظت شدهاید.
آیا اگر از آنتیویروس دیگری استفاده کنم، این آسیبپذیری بر من تأثیر میگذارد؟
به طور کلی خیر. اگر یک آنتیویروس شخص ثالث فعال باشد و محافظت بلادرنگ ویندوز دیفندر غیرفعال باشد، موتور اسکن آسیبپذیر در حال اجرا نیست.
آیا یک هکر میتواند از این نقص برای نفوذ از راه دور به رایانه من استفاده کند؟
خیر. RoguePlanet یک نقص ارتقاء امتیاز محلی است، به این معنی که مهاجم باید از قبل نوعی دسترسی به دستگاه شما داشته باشد تا بتواند از آن سوءاستفاده کند.
منابع
[1]PCWorldمدافعان اکوسیستم
Microsoft patches RoguePlanet Defender zero-day vulnerability
مطالعه در PCWorld →[2]Cyderesتیمهای امنیتی سازمانی
RoguePlanet: Analyzing the Windows Defender Zero-Day
مطالعه در Cyderes →[3]Kudelski Securityتیمهای امنیتی سازمانی
CVE-2026-50656: Technical Analysis of the RoguePlanet Vulnerability
مطالعه در Kudelski Security →[4]Picus Securityمحققان مستقل آسیبپذیری
RoguePlanet Zero-Day: The Seventh Exploit in an Adversarial Campaign
مطالعه در Picus Security →[5]Security Affairsمحققان مستقل آسیبپذیری
Microsoft fixes RoguePlanet zero-day in Windows Defender
مطالعه در Security Affairs →[6]Dark Readingتیمهای امنیتی سازمانی
Microsoft Patches 'RoguePlanet' Zero-Day Amid Researcher Feud
مطالعه در Dark Reading →[7]Malwarebytesمدافعان اکوسیستم
Microsoft issues out-of-band patch for RoguePlanet zero-day
مطالعه در Malwarebytes →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.










