أطلقت شركة Microsoft تحديثاً أمنياً لمعالجة ثغرة “RoguePlanet” المكتشفة في محرك الحماية من البرمجيات الخبيثة الخاص ببرنامج Microsoft Defender. ويأتي هذا الإصلاح بعد مرور شهر كامل على النشر العلني لتفاصيل الثغرة ونموذج استغلالها.
تسمح الثغرة (CVE-2026-50656 بتقييم CVSS عند 7.8) للمهاجمين بتصعيد صلاحياتهم لتصل إلى مستوى النظام (SYSTEM)، الأمر الذي يمنحهم القدرة على تشغيل برمجيات غير مصرح بها أو الاستحواذ الكامل على نظام التشغيل.
وتلافت الشركة هذا الخلل في الإصدار رقم 1.1.26060.3008 من محرك الحماية، مدعوماً بتحسينات أمنية إضافية لتعزيز حصانة مزايا دفاعية أخرى لم تسمّها الشركة. ولن يتطلب تطبيق هذا الحل أي تداخل يدوي من المستخدمين، نظراً لأن البرنامج يستقبل التحديثات والتعريفات الجديدة بصورة تلقائية عبر المنظومة اليومية المعتادة لتحديث منتجات الحماية من Microsoft. أما في بيئات العمل والشبكات المعزولة، فيستطيع مسؤولو الأنظمة التحقق من وصول التحديث يدوياً بواسطة تعليمات نصية مخصصة أو عبر الواجهة الرسومية للبرنامج.
يعود التاريخ الأول لرصد ثغرة “RoguePlanet” إلى يوم 9 يونيو 2026 بواسطة الباحث الأمني المعروف بلقب Chaotic Eclipse (أو Nightmare Eclipse)، وجاء ذلك عقب ساعات قليلة من طرح Microsoft لحزمتها الأمنية الشهرية حينها. وطرح الباحث نموذجاً لطلب الاستغلال البرهاني لإثبات المفهوم (PoC) يوضح وجود حالة تسابق (Race Condition) أثناء معالجة الملفات في مكتبة الربط الديناميكي “mpengine.dll”، وهي ثغرة تمكن من فتح واجهة سطر الأوامر بصلاحيات SYSTEM ضمن بيئات Windows 10 وWindows 11 المحدثة بآخر تحديثات يونيو الأمنية.
وقد أفادت شركة ThreatLocker المتخصصة في الأمن السيبراني بنجاحها في محاكاة الهجوم وتكراره على أنظمة محدثة بالكامل، في حين نوه الباحث بأن فاعلية هذا الاستغلال تظل قائمة دون الارتباط بتفعيل ميزة الحماية في الوقت الحقيقي أو تعطيلها، رغم أن نجاح المحاولة يبقى نسبياً وغير حتمي نظراً لطبيعة ثغرات سباق المعالجة القائمة على المصادفة.
وتعد هذه الثغرة هي الرابعة ضمن سلسلة العيوب الأمنية التي كشف عنها الباحث نفسه في برنامج Defender، مسبوقة بثغرات BlueHammer (CVE-2026-33825)، وUnDefend (CVE-2026-45498)، وRedSun (CVE-2026-41091)، والتي سارعت Microsoft إلى سدها في فترات سابقة.
ووفقاً لتوضيحات الباحث، فقد كان يهدف في البداية لتطوير هجوم “RoguePlanet” كآلية لتنفيذ التعليمات البرمجية عن بُعد (RCE) من خلال استدراج المستهدفين لفتح ملف مخزن على مشاركة خادم SMB خبيث، إلا أن تعديلات وقائية غير معلنة أدخلتها Microsoft في منتصف شهر مايو حالت دون إتمام ذاك المخطط، ليقتصر الاستغلال المتاح حالياً على تصعيد الامتيازات محلياً داخل الجهاز فحسب.
وتزامن هذا الإفصاح مع تباين مستمر في وجهات النظر بين الباحث والشركة بخصوص آليات الإبلاغ المنسق وجوائز اكتشاف الثغرات الأمنية. إذ سبق لـ Microsoft أن لوحت باللجوء إلى التنسيق مع الجهات القانونية عقب عمليات نشر سابقة، ما تسبب في حالة من السجال داخل مجتمعات الأمن السيبراني. وعقب رصد “RoguePlanet”، نشرت الشركة بياناً بتاريخ 10 يونيو أوضحت فيه أنها تبحث بجدية في تفاصيل هذه التقارير، مؤكدة التزامها بنهج الإفصاح المسؤول، ومع ذلك، خلت لوحة الشرف الرسمية المصاحبة للتحديث الأخير من الإشارة إلى اسم الباحث، على غير العادة المتبعة في توثيق الإسهامات الخارجية.
وبصدور هذا التحديث بعد شهر من الانتظار، تنتهي إمكانية استغلال ثغرة “RoguePlanet” التي كانت تمنح أي مهاجم يمتلك وصولاً محدوداً فرصة تنفيذ الهجوم بمجرد إقلاع النظام، وهي ميزة ترفع من تصنيف خطورتها في المراحل التي تلي الاختراق الأولي وتستهدف إحكام السيطرة التامة على البيئة الرقمية. وتهيب Microsoft بالمنشآت والمؤسسات ضرورة إبقاء أجهزتها متصلة بشبكة الإنترنت لضمان استلام حزم التحديث اليومية، وفي الظروف التي يتعذر فيها الاتصال، يتعين على المسؤولين مراجعة رقم إصدار محرك الحماية والتأكد من وصوله إلى النسخة 1.1.26060.3008 كحد أدنى لدرء مخاطر هذا التهديد.








