بالتزامن مع إصدار شركة Microsoft حزمة تصحيحات أمنية قياسية بلغت 622 تحديثاً، كشف الباحث الأمني المعروف باسمه المستعار “Nightmare Eclipse” (أو Chaotic Eclipse) عن ثغرة أمنية جديدة غير مصححة من نوع “يوم الصفر” (Zero-day) في نظام التشغيل Windows، أطلق عليها اسم “LegacyHive” (أو HiveLegacy).
جاء هذا الكشف، الذي تم في يومي 14 و15 يوليو 2026، في سياق سلسلة متواصلة من عمليات الإفصاح العلني التي يستهدف بها الباحث منتجات الشركة نتيجة نزاع مستمر واحتجاج على آلية تعاملها مع تقاريره الأمنية.
تصنف الثغرة تقنياً كخلل لتصعيد الصلاحيات محلياً (LPE) يكمن في خدمة ملفات تعريف المستخدمين في Windows والمعروفة بـ (User Profile Service – profsvc). وتتمثل آلية الاستغلال في تمكين مستخدم محلي عادي من تحميل وتعديل سجل التسجيل (Registry Hive) الخاص بمستخدم آخر، بما في ذلك حسابات المسؤولين، ما يمنح المهاجم صلاحيات إدارية كاملة بمجرد تسجيل دخول المستخدم المستهدف.
ووفقاً للباحث، فإن الثغرة تؤثر على جميع إصدارات Windows المدعومة والمثبت عليها تحديثات يوليو 2026، في حين لم يتم حتى الآن إسناد معرف CVE خاص بها أو تحديد درجة خطورتها وفق مقياس CVSS، ولا تزال Microsoft تحقق في المسألة دون إصدار تصحيح رسمي.
ولتفادي الاستغلال الفوري المباشر، نشر الباحث كوداً محدوداً لإثبات المفهوم (PoC) يتطلب لنجاحه حيازة بيانات اعتماد حساب مستخدم عادي آخر ومعرفة اسم مستخدم ثالث (كحساب المسؤول مثلاً)، مشيراً إلى أن النسخة الأصلية غير المنشورة لديه تتجاوز هذه القيود وتسمح بتحميل أي سجل تسجيل دون الحاجة لبيانات إضافية، ولا تقتصر على ملف “usrclass.dat”.
ورغم عدم وجود مؤشرات حالية على استغلال الثغرة في الهجمات الفعلية، إلا أن خبراء الأمن يحذرون من خطورتها؛ حيث أشار دراي آغا، المدير الأول لعمليات الأمن في Huntress، إلى أن الجهات المهاجمة ستبدأ سريعاً في الهندسة العكسية للكود المنشور لإكمال الأجزاء المفقودة وتطوير أدوات هجومية فعالة، مستشهدين بثغرات سابقة للباحث مثل “BlueHammer” و”RedSun” التي تحولت سريعاً إلى هجمات واسعة.
من جهة أخرى، قلل ماتي بادانويو، الباحث الأمني الرئيسي في Pentest-Tools.com، من شمولية الكود المنشور حالياً، موضحاً أنه يمثل أداة مساعدة لمن يمتلك بالفعل موطئ قدم أولى في النظام وليس اختراقاً كاملاً بحد ذاته، وإن اتفق خبراء آخرون على أن القدرة على تعديل سجل حساب المسؤول تعد نقطة انطلاق قوية للسيطرة الكاملة على النظام.
وبانتظار صدور التحديث الرسمي، يُنصح مسؤولو الأنظمة بمراقبة خدمة “profsvc” لكشف أي عمليات تحميل غير طبيعية لسجلات المستخدمين، وتقييد إنشاء الحسابات المحلية غير الضرورية، ومراقبة النشاط على ملفات “NTUSER.DAT” و”UsrClass.dat”، والاستعانة بالنص البرمجي المخصص للكشف عن محاولات الاستغلال الذي وفره الباحث المستقل كيفن بومونت.







