الأمن السيبراني

RoguePlanet (CVE-2026-50656): ثغرة يوم صفري في Windows Defender جرى ترقيعها بعد 29 يومًا من نشر الاستغلال العلني

‏RoguePlanet (CVE-2026-50656) ثغرة يوم صفري في Windows Defender تمنح أي مستخدم محلي التحكم بصلاحيات SYSTEM. أصدرت Microsoft الإصلاح في 9 يوليو 2026، أي بعد نحو شهر من ظهور شفرة استغلال فاعلة علنًا. إليك ما هي هذه الثغرة، ومن المتأثر بها، وكيف تتحقق من أن محرّكك مُرقَّع.

وقاص احمد وسیر
وقاص احمد وسیر 11 يوليو 2026 6 دقائق قراءة
RoguePlanet (CVE-2026-50656): ثغرة يوم صفري في Windows Defender جرى ترقيعها بعد 29 يومًا من نشر الاستغلال العلني

‏قامت Microsoft بترقيع RoguePlanet (CVE-2026-50656)، وهي ثغرة لتصعيد الامتيازات في Microsoft Malware Protection Engine، أي نواة الفحص التي تقف خلف Windows Defender وتعمل على كل أجهزة Windows 10 وWindows 11 وWindows Server تقريبًا. تتيح الثغرة لأي مستخدم موجود بالفعل على الجهاز أن يصعّد إلى صلاحيات SYSTEM، وهي أعلى مستوى امتيازات في Windows. وصل الإصلاح في 9 يوليو 2026، أي بعد نحو 29 يومًا من نشر باحث لشفرة استغلال فاعلة، وهذا هو الجزء الجدير بالانتباه في هذه القصة: فطوال شهر كامل ظل نموذج إثبات مفهوم مُسلَّح لثغرة على مستوى SYSTEM متاحًا للعامة بينما لم يكن هناك ترقيع.

إذا كنت تشغّل Windows في أي مكان، فالإجراء العملي قصير: تأكّد من أن Malware Protection Engine لديك على الإصدار 1.1.26060.3008 أو أحدث. وكل ما يلي أدناه هو سياق يفسّر لماذا يهمّ رقم الإصدار هذا تحديدًا.

ما هي RoguePlanet (CVE-2026-50656)؟

‏RoguePlanet ثغرة محلية لتصعيد الامتيازات في mpengine.dll، وهو Microsoft Malware Protection Engine الذي يوفّر الفحص والاكتشاف والتنظيف في Defender. ولأن هذا المحرّك يعمل بأعلى امتيازات على النظام كي يتمكن من فحص أي شيء وعزله في الحجر، فإن أي خلل بداخله يمثّل مسارًا مباشرًا إلى SYSTEM. يصف الباحثون RoguePlanet بأنها حالة تسابق (race condition) يمكن استغلالها لإطلاق صدفة (shell) تعمل بصلاحيات SYSTEM. تصنّفها Microsoft بدرجة CVSS 7.8 وتضع عليها وسم «Exploitation More Likely» في مؤشر قابلية الاستغلال (Exploitability Index) الخاص بها.

هي ليست ثغرة تنفيذ شفرة عن بُعد، فهي بمفردها لا تتيح للمهاجم اختراق جهاز من الإنترنت. إنها ثغرة تصعيد امتيازات، وهي النصف الثاني في معظم عمليات الاختراق الحقيقية: فالمهاجم الذي يهبط على جهاز عبر التصيّد الاحتيالي، أو بيانات اعتماد مسروقة، أو تطبيق منخفض الامتيازات، يستخدم ثغرة كهذه للانتقال من مستخدم محدود إلى تحكّم كامل. وهذه بالضبط هي الخطوة التي تحوّل موطئ قدم إلى اختراق كامل.

من المتأثر

كل من يشغّل Microsoft Defender بمحرّك سابق للإصلاح، وهو افتراضيًا كل جهاز Windows غير مُدار تقريبًا. والتفصيل المزعج هو أنه تبيّن أن الاستغلال يعمل على أنظمة محدَّثة بالكامل بترقيعات Patch Tuesday لشهر يونيو 2026 المثبّتة. لم تنفع عبارة «مُرقَّع بالكامل» هنا، لأن الشفرة المصابة تعيش داخل محرّك Defender، الذي يُحدَّث عبر مسار خاص به منفصل عن تحديثات Windows التراكمية الشهرية.

التفصيلRoguePlanet (CVE-2026-50656)
النوعتصعيد امتيازات محلي إلى SYSTEM
المكوّنMicrosoft Malware Protection Engine (mpengine.dll)
CVSS / الخطورة7.8، «Exploitation More Likely»
المتأثرWindows 10 و11 وWindows Server التي تشغّل Defender
إصدار المحرّك المُصلَح1.1.26060.3008
نموذج الإثبات العلني10 يونيو 2026
صدور الإصلاح9 يوليو 2026

كيف تتحقق وتفرض التحديث

الخبر السار أولًا: يحدّث Malware Protection Engine نفسه بنفسه. تشير Microsoft إلى أن التهيئة الافتراضية لمكافحة البرمجيات الخبيثة تُبقي المحرّك والتعريفات محدّثة تلقائيًا، إذ تبحث عن التحديثات عند الاتصال بالإنترنت، غالبًا عدة مرات في اليوم. ستسحب معظم الأجهزة المحرّك المُصلَح خلال 48 ساعة من صدوره دون أن يلمسها أحد.

لكن لا تفترض ذلك. تحقّق منه. افتح PowerShell ونفّذ:

Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion

إذا أظهر AMEngineVersion القيمة 1.1.26060.3008 أو أعلى، فأنت مُرقَّع. وإذا كانت أدنى، فافرض التحديث بدلًا من الانتظار:

Update-MpSignature

على الأساطيل المعزولة عن الشبكة (air-gapped) أو المُدارة بإحكام حيث لا يُحدَّث المحرّك تلقائيًا، يكون تحديث التواقيع اليدوي هذا هو الإصلاح. والأجهزة التي تحجب تحديثات Defender أو تؤخّرها بسياسة إدارية هي الأرجح أن تبقى معرّضة للخطر، لذا فهي جديرة بالفحص أولًا.

عندما تصبح أداة الأمن نفسها سطح الهجوم

الدرس الأعمق في RoguePlanet معماري. فحماية الأجهزة الطرفية تعمل في كل مكان وتعمل بامتيازات عالية بحكم التصميم، ما يجعل الوكيل نفسه أحد أثمن الأهداف على الجهاز. وكما عبّر أحد التحليلات، هذه حالة يصبح فيها الكاشف نفسه سطح الهجوم: فالشيء المفترض أن يمسك المهاجمين هو الشيء الذي يسلّمهم المفاتيح. وهذا ليس قصورًا خاصًا بـ Defender أيضًا. فكل منتج EDR ومضاد فيروسات يأتي بخدمة عالية الامتيازات، وأي خلل في أي منها هو اختصار إلى SYSTEM أو root.

لهذا اقترنت Microsoft إصلاح RoguePlanet بتحصين متعدّد الطبقات للمحرّك بدلًا من ترقيع من سطر واحد، ولهذا فإن التعامل مع وكلاء الأمن باعتبارهم فوق المساس خطأ. فهم يستحقون الانضباط نفسه في الترقيع والمراقبة وتدقيق أقل الامتيازات مثل أي برنامج آخر عالي الامتيازات على الشبكة.

معركة الإفصاح وراء التأخير

لم تظهر RoguePlanet بمعزل. فهي واحدة في سلسلة سريعة من استغلالات Windows نشرها باحث يعمل باسم Nightmare Eclipse، عقب إفصاحات سابقة تابعتها أوساط التغطية الإعلامية تحت أسماء مثل BlueHammer وUnDefend وRedSun. وقد زعم الباحث أن Microsoft أساءت التعامل مع تقاريره الخاصة، وهو ما يمثّل الخلفية وراء نشر هذه الثغرة علنًا كنموذج إثبات مفهوم فاعل قبل وجود إصلاح.

أيًّا كان الجانب الذي تقف فيه، فإن فجوة الـ 29 يومًا هي العبرة للمدافعين. فنموذج الإثبات العلني لثغرة على مستوى SYSTEM يعيد ضبط ساعة المخاطر لديك لحظة صدوره، لا حين تُقرّ به الجهة المنتجة. فعصابات التهديد تدمج شفرة الاستغلال العلنية في عُددها بسرعة، وأدوات تصعيد الامتيازات هي بالضبط ما يركّبه مشغّلو برمجيات الفدية على موطئ قدم أوّلي. والنافذة بين «الاستغلال أصبح علنيًا» و«الترقيع أصبح متاحًا» هي النافذة التي عليك إدارتها بالاكتشاف والمراقبة، لأن الترقيع ليس خيارًا بعد.

وللصورة الأوسع للترقيعات في هذه الدورة، يبيّن استعراضنا لـ Patch Tuesday يونيو 2026 وثغراته الست الصفرية كم أصبح مشهد التصعيد مزدحمًا، كما أن ثغرة الجذر Bad Epoll في نواة Linux هي النوع نفسه من الخلل على الجانب الآخر من سياج نظام التشغيل.

الأسئلة الشائعة

هل يجري استغلال RoguePlanet في البرية؟

نموذج إثبات مفهوم فاعل متاح للعامة منذ 10 يونيو 2026، وهو يعمل على أنظمة Windows محدَّثة بالكامل. وتصنّفه Microsoft بأنه «Exploitation More Likely». ونموذج إثبات علني ومُسلَّح لثغرة على مستوى SYSTEM هو واقعيًا مسألة وقت لا احتمال، لذا تعامل معه على أنه بالغ الإلحاح وتأكّد من إصدار محرّكك الآن.

هل أحتاج إلى تثبيت تحديث Windows لإصلاحها؟

لا. يُشحن الإصلاح داخل Microsoft Malware Protection Engine، الذي يُحدَّث بشكل منفصل عن Patch Tuesday. وتحدّث معظم الأجهزة نفسها تلقائيًا خلال يوم أو يومين. ويمكنك فرضه فورًا عبر Update-MpSignature في PowerShell.

كيف أعرف أنني مُرقَّع؟

نفّذ Get-MpComputerStatus في PowerShell وتحقّق من AMEngineVersion. الإصدار 1.1.26060.3008 أو أحدث يحتوي على الإصلاح.

هل مضاد فيروسات من طرف ثالث أكثر أمانًا من Defender هنا؟

ليس بطبيعته. فكل وكيل حماية طرفية يعمل بامتيازات عالية ويمكن أن يحمل النوع نفسه من ثغرات التصعيد. الحماية الحقيقية هي إبقاء أي وكيل تشغّله مُرقَّعًا ومُراقَبًا، لا تبديل المنتجات.

Sources

وقاص احمد وسیر

وقاص احمد وسیر

وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.

ذات صلة

المزيد في الأمن السيبراني

عرض الكل
BlueHammer (CVE-2026-33825): ثغرة Microsoft Defender التي تُستغل الآن في هجمات الفدية
الأمن السيبراني

BlueHammer (CVE-2026-33825): ثغرة Microsoft Defender التي تُستغل الآن في هجمات الفدية

صنّفت CISA ثغرة BlueHammer (CVE-2026-33825)، وهي ثغرة تصعيد صلاحيات في Microsoft Defender، على أنها مُستغَلّة في هجمات برامج الفدية. إليك ما تفعله الثغرة، وهل أنت محميّ بالتحديث، ولماذا لا يغلقها التحديث وحده بالكامل.

وقاص احمد وسیر8 دقائق قراءة
ثغرة تنفيذ التعليمات البرمجية عن بُعد غير المُصلّحة في Argo CD تتيح للمهاجمين السيطرة على عناقيد Kubernetes (2026)
الأمن السيبراني

ثغرة تنفيذ التعليمات البرمجية عن بُعد غير المُصلّحة في Argo CD تتيح للمهاجمين السيطرة على عناقيد Kubernetes (2026)

ثغرة أمنية جديدة كُشف عنها في repo-server التابع لـ Argo CD تمنح المهاجمين غير المُوثّقين تنفيذًا للتعليمات البرمجية عن بُعد وطريقًا للسيطرة الكاملة على عنقود Kubernetes. لا يوجد تصحيح ولا معرّف CVE، وإليك كيف يعمل الهجوم وكيف تُحكم إغلاقه اليوم.

وقاص احمد وسیر8 دقائق قراءة

النقاش · 0

كن لطيفًا. التعليقات علنية.

    النشرة البريدية · إصدار الاثنين

    ملخّص الاثنين.

    بريد واحد كل صباح اثنين. الأسبوع المقبل في الذكاء الاصطناعي والشركات الناشئة والاستضافة وأدوات المطوّرين — بلا حشو، وبلا إعلانات مموّهة.

    مجاني. يمكنك إلغاء الاشتراك بنقرة واحدة.