Netcrook Logo
👤 KERNELWATCHER
🗓️ 20 Apr 2026   🌍 North America

انتقام، واستغلالات، وفوضى بلا ترقيع: داخل هجوم «Nightmare-Eclipse» على Microsoft Defender

ثأر باحثٍ مرفوض يعرّض الملايين للخطر فيما يظلّ ثغرتان صفريتان حرجتان في Defender بلا إصلاح.

بدأ الأمر كتقريرٍ روتيني عن خلل - ثم انقلب إلى واحدة من أكثر مواجهات الأمن السيبراني درامية في الذاكرة الحديثة. قضية «Nightmare-Eclipse» المزعومة وضعت فريق أمن Microsoft تحت الأضواء، بعدما أطلق باحثٌ، أُحبطت محاولاته للإفصاح المسؤول، شيفرة إثبات مفهوم (PoC) ليس لثغرة واحدة، بل لثلاث ثغرات خطيرة في Microsoft Defender. وبينما جرى ترقيع عيبٍ واحد، ما تزال استغلالات ثغرتين صفريتين نشطة، وشيفرتهما تتداول بحرية، والمهاجمون بدأوا بالفعل بالتصويب. الوقت ينفد - والعالم يراقب.

الإفصاح المسؤول الذي تحوّل إلى انفجار

تعود الحكاية إلى سيناريو كلاسيكي لمكافأة ثغرات انتهى على نحو سيئ. الباحث، وقد ضاق ذرعًا بعد أن زُعم أن Microsoft تجاهلت أو رفضت إرسالياته الخاصة بالثغرات، قرر أن يأخذ زمام الأمور بيده. في تدوينة بعنوان «Caothic Eclipse»، وصف شعوره بالخيانة وبأنه تُرك بلا شيء: «أحدهم خرق اتفاقنا وتركَني بلا منزل أو أي شيء… طعنوني في الظهر». وكان ردّه؟ نشرٌ محسوب لثلاث استغلالات لـ Defender على GitHub، بتوقيتٍ يضمن أقصى أثر.

الأولى، التي حملت اسم BlueHammer، عالجتها Microsoft سريعًا ضمن تحديث Patch Tuesday لشهر أبريل 2026. لكن ما إن هدأ الغبار حتى أسقط Nightmare-Eclipse قنبلتين إضافيتين: RedSun وUnDefend، وقد ظهرتا بالتزامن مع نشر أحدث ترقيعات الأمان من Microsoft، بما يضمن أقصى قدر من الانتباه من مجتمع الأمن - ومن المهاجمين المحتملين.

RedSun وUnDefend: الخطر الكامن على مرأى من الجميع

يُعد RedSun (CVE-2026-33825) استغلالًا نموذجيًا لتصعيد الامتيازات محليًا (LPE). عبر استغلال سلوكٍ شاذ في طريقة تعامل Defender مع الملفات الخبيثة الموسومة، يمكن للمهاجمين الذين يملكون وصولًا محليًا الكتابة فوق ملفات النظام والحصول على امتيازات بمستوى SYSTEM. ورغم أنه غير قابل للاستغلال عن بُعد - حتى الآن - فإن التهديد حقيقي: فبمجرد التواجد داخل النظام، يستطيع المهاجمون ربط RedSun باستغلالات أخرى لإحداث أثرٍ مدمّر. بل إن Nightmare-Eclipse ألمح حتى إلى نسخة مستقبلية لتنفيذ تعليمات برمجية عن بُعد (RCE) إذا جرى استفزازه أكثر، ما يرفع سقف المخاطر.

أما UnDefend فيستهدف شريان حياة Defender نفسه: نظام التحديثات. ففي الوضع «السلبي» يحظر تحديثات التواقيع؛ وفي الوضع «العدواني» يمكنه تعطيل Defender بالكامل - خصوصًا أثناء ترقيات البرمجيات الكبرى. ويزعم الباحث أنه طوّر تقنية تخفٍّ لخداع لوحة مراقبة Defender، لكنه - في الوقت الراهن - حجب تلك الشيفرة لتجنّب «ضررٍ مفرط».

التداعيات: سباق مع الزمن

فرق الأمن في حالة استنفار. فجهات التهديد تختبر بالفعل شيفرات PoC، ولا يملك المدافعون سوى الأمل بأن تتحرك Microsoft بسرعة لسد الثغرات المتبقية. قضية Nightmare-Eclipse درسٌ تحذيري: عندما ينهار الإفصاح المسؤول، يخسر الجميع - باستثناء المجرمين. وكما يحذّر الباحث: «سأجعل الأمر أكثر متعة في كل مرة تُصدر فيها Microsoft ترقيعًا». وحتى ذلك الحين، ينتظر العالم، آملًا أن تكون الخطوة التالية في مباراة الشطرنج السيبرانية عالية المخاطر لصالح المدافعين.

WIKICROOK

  • Zero: الثغرة الصفرية (Zero-day) هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
  • إثبات المفهوم (PoC): إثبات المفهوم (PoC) هو عرض يثبت إمكانية استغلال خلل أمني، ما يساعد المؤسسات على إدراك الثغرات ومعالجتها.
  • تصعيد الامتيازات محليًا (LPE): يتيح تصعيد الامتيازات محليًا للمهاجمين الحصول على صلاحيات أعلى على النظام، وغالبًا ما يؤدي إلى سيطرة كاملة. ويستغل ثغرات أو سوء إعدادات.
  • تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو تمكّن المهاجم من تشغيل شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي إلى سيطرة كاملة أو اختراق ذلك النظام.
  • Patch Tuesday: Patch Tuesday هو الحدث الشهري لدى Microsoft لإصدار تحديثات الأمان والترقيعات لإصلاح الثغرات في برمجياتها، وعادةً ما يكون في يوم الثلاثاء الثاني.
Microsoft Defender Cybersecurity Zero-day Exploits
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news