قامت Microsoft بترقيع RoguePlanet (CVE-2026-50656)، وهي ثغرة لتصعيد الامتيازات في Microsoft Malware Protection Engine، أي نواة الفحص التي تقف خلف Windows Defender وتعمل على كل أجهزة Windows 10 وWindows 11 وWindows Server تقريبًا. تتيح الثغرة لأي مستخدم موجود بالفعل على الجهاز أن يصعّد إلى صلاحيات SYSTEM، وهي أعلى مستوى امتيازات في Windows. وصل الإصلاح في 9 يوليو 2026، أي بعد نحو 29 يومًا من نشر باحث لشفرة استغلال فاعلة، وهذا هو الجزء الجدير بالانتباه في هذه القصة: فطوال شهر كامل ظل نموذج إثبات مفهوم مُسلَّح لثغرة على مستوى SYSTEM متاحًا للعامة بينما لم يكن هناك ترقيع.
إذا كنت تشغّل Windows في أي مكان، فالإجراء العملي قصير: تأكّد من أن Malware Protection Engine لديك على الإصدار 1.1.26060.3008 أو أحدث. وكل ما يلي أدناه هو سياق يفسّر لماذا يهمّ رقم الإصدار هذا تحديدًا.
ما هي RoguePlanet (CVE-2026-50656)؟
RoguePlanet ثغرة محلية لتصعيد الامتيازات في mpengine.dll، وهو Microsoft Malware Protection Engine الذي يوفّر الفحص والاكتشاف والتنظيف في Defender. ولأن هذا المحرّك يعمل بأعلى امتيازات على النظام كي يتمكن من فحص أي شيء وعزله في الحجر، فإن أي خلل بداخله يمثّل مسارًا مباشرًا إلى SYSTEM. يصف الباحثون RoguePlanet بأنها حالة تسابق (race condition) يمكن استغلالها لإطلاق صدفة (shell) تعمل بصلاحيات SYSTEM. تصنّفها Microsoft بدرجة CVSS 7.8 وتضع عليها وسم «Exploitation More Likely» في مؤشر قابلية الاستغلال (Exploitability Index) الخاص بها.
هي ليست ثغرة تنفيذ شفرة عن بُعد، فهي بمفردها لا تتيح للمهاجم اختراق جهاز من الإنترنت. إنها ثغرة تصعيد امتيازات، وهي النصف الثاني في معظم عمليات الاختراق الحقيقية: فالمهاجم الذي يهبط على جهاز عبر التصيّد الاحتيالي، أو بيانات اعتماد مسروقة، أو تطبيق منخفض الامتيازات، يستخدم ثغرة كهذه للانتقال من مستخدم محدود إلى تحكّم كامل. وهذه بالضبط هي الخطوة التي تحوّل موطئ قدم إلى اختراق كامل.
من المتأثر
كل من يشغّل Microsoft Defender بمحرّك سابق للإصلاح، وهو افتراضيًا كل جهاز Windows غير مُدار تقريبًا. والتفصيل المزعج هو أنه تبيّن أن الاستغلال يعمل على أنظمة محدَّثة بالكامل بترقيعات Patch Tuesday لشهر يونيو 2026 المثبّتة. لم تنفع عبارة «مُرقَّع بالكامل» هنا، لأن الشفرة المصابة تعيش داخل محرّك Defender، الذي يُحدَّث عبر مسار خاص به منفصل عن تحديثات Windows التراكمية الشهرية.
| التفصيل | RoguePlanet (CVE-2026-50656) |
|---|---|
| النوع | تصعيد امتيازات محلي إلى SYSTEM |
| المكوّن | Microsoft Malware Protection Engine (mpengine.dll) |
| CVSS / الخطورة | 7.8، «Exploitation More Likely» |
| المتأثر | Windows 10 و11 وWindows Server التي تشغّل Defender |
| إصدار المحرّك المُصلَح | 1.1.26060.3008 |
| نموذج الإثبات العلني | 10 يونيو 2026 |
| صدور الإصلاح | 9 يوليو 2026 |
كيف تتحقق وتفرض التحديث
الخبر السار أولًا: يحدّث Malware Protection Engine نفسه بنفسه. تشير Microsoft إلى أن التهيئة الافتراضية لمكافحة البرمجيات الخبيثة تُبقي المحرّك والتعريفات محدّثة تلقائيًا، إذ تبحث عن التحديثات عند الاتصال بالإنترنت، غالبًا عدة مرات في اليوم. ستسحب معظم الأجهزة المحرّك المُصلَح خلال 48 ساعة من صدوره دون أن يلمسها أحد.
لكن لا تفترض ذلك. تحقّق منه. افتح PowerShell ونفّذ:
Get-MpComputerStatus | Select-Object AMEngineVersion, AMProductVersion
إذا أظهر AMEngineVersion القيمة 1.1.26060.3008 أو أعلى، فأنت مُرقَّع. وإذا كانت أدنى، فافرض التحديث بدلًا من الانتظار:
Update-MpSignature
على الأساطيل المعزولة عن الشبكة (air-gapped) أو المُدارة بإحكام حيث لا يُحدَّث المحرّك تلقائيًا، يكون تحديث التواقيع اليدوي هذا هو الإصلاح. والأجهزة التي تحجب تحديثات Defender أو تؤخّرها بسياسة إدارية هي الأرجح أن تبقى معرّضة للخطر، لذا فهي جديرة بالفحص أولًا.
عندما تصبح أداة الأمن نفسها سطح الهجوم
الدرس الأعمق في RoguePlanet معماري. فحماية الأجهزة الطرفية تعمل في كل مكان وتعمل بامتيازات عالية بحكم التصميم، ما يجعل الوكيل نفسه أحد أثمن الأهداف على الجهاز. وكما عبّر أحد التحليلات، هذه حالة يصبح فيها الكاشف نفسه سطح الهجوم: فالشيء المفترض أن يمسك المهاجمين هو الشيء الذي يسلّمهم المفاتيح. وهذا ليس قصورًا خاصًا بـ Defender أيضًا. فكل منتج EDR ومضاد فيروسات يأتي بخدمة عالية الامتيازات، وأي خلل في أي منها هو اختصار إلى SYSTEM أو root.
لهذا اقترنت Microsoft إصلاح RoguePlanet بتحصين متعدّد الطبقات للمحرّك بدلًا من ترقيع من سطر واحد، ولهذا فإن التعامل مع وكلاء الأمن باعتبارهم فوق المساس خطأ. فهم يستحقون الانضباط نفسه في الترقيع والمراقبة وتدقيق أقل الامتيازات مثل أي برنامج آخر عالي الامتيازات على الشبكة.
معركة الإفصاح وراء التأخير
لم تظهر RoguePlanet بمعزل. فهي واحدة في سلسلة سريعة من استغلالات Windows نشرها باحث يعمل باسم Nightmare Eclipse، عقب إفصاحات سابقة تابعتها أوساط التغطية الإعلامية تحت أسماء مثل BlueHammer وUnDefend وRedSun. وقد زعم الباحث أن Microsoft أساءت التعامل مع تقاريره الخاصة، وهو ما يمثّل الخلفية وراء نشر هذه الثغرة علنًا كنموذج إثبات مفهوم فاعل قبل وجود إصلاح.
أيًّا كان الجانب الذي تقف فيه، فإن فجوة الـ 29 يومًا هي العبرة للمدافعين. فنموذج الإثبات العلني لثغرة على مستوى SYSTEM يعيد ضبط ساعة المخاطر لديك لحظة صدوره، لا حين تُقرّ به الجهة المنتجة. فعصابات التهديد تدمج شفرة الاستغلال العلنية في عُددها بسرعة، وأدوات تصعيد الامتيازات هي بالضبط ما يركّبه مشغّلو برمجيات الفدية على موطئ قدم أوّلي. والنافذة بين «الاستغلال أصبح علنيًا» و«الترقيع أصبح متاحًا» هي النافذة التي عليك إدارتها بالاكتشاف والمراقبة، لأن الترقيع ليس خيارًا بعد.
وللصورة الأوسع للترقيعات في هذه الدورة، يبيّن استعراضنا لـ Patch Tuesday يونيو 2026 وثغراته الست الصفرية كم أصبح مشهد التصعيد مزدحمًا، كما أن ثغرة الجذر Bad Epoll في نواة Linux هي النوع نفسه من الخلل على الجانب الآخر من سياج نظام التشغيل.
الأسئلة الشائعة
هل يجري استغلال RoguePlanet في البرية؟
نموذج إثبات مفهوم فاعل متاح للعامة منذ 10 يونيو 2026، وهو يعمل على أنظمة Windows محدَّثة بالكامل. وتصنّفه Microsoft بأنه «Exploitation More Likely». ونموذج إثبات علني ومُسلَّح لثغرة على مستوى SYSTEM هو واقعيًا مسألة وقت لا احتمال، لذا تعامل معه على أنه بالغ الإلحاح وتأكّد من إصدار محرّكك الآن.
هل أحتاج إلى تثبيت تحديث Windows لإصلاحها؟
لا. يُشحن الإصلاح داخل Microsoft Malware Protection Engine، الذي يُحدَّث بشكل منفصل عن Patch Tuesday. وتحدّث معظم الأجهزة نفسها تلقائيًا خلال يوم أو يومين. ويمكنك فرضه فورًا عبر Update-MpSignature في PowerShell.
كيف أعرف أنني مُرقَّع؟
نفّذ Get-MpComputerStatus في PowerShell وتحقّق من AMEngineVersion. الإصدار 1.1.26060.3008 أو أحدث يحتوي على الإصلاح.
هل مضاد فيروسات من طرف ثالث أكثر أمانًا من Defender هنا؟
ليس بطبيعته. فكل وكيل حماية طرفية يعمل بامتيازات عالية ويمكن أن يحمل النوع نفسه من ثغرات التصعيد. الحماية الحقيقية هي إبقاء أي وكيل تشغّله مُرقَّعًا ومُراقَبًا، لا تبديل المنتجات.
Sources
- The Hacker News — Microsoft تُرقّع ثغرة RoguePlanet في Defender: آلية الثغرة، وCVSS، وسياق حملة Nightmare Eclipse.
- Help Net Security — Microsoft تُصدر إصلاح RoguePlanet (CVE-2026-50656): تاريخ الإصلاح، وإصدار المحرّك، وسلوك التحديث التلقائي.
- Security Affairs — Microsoft تُصلح ثغرة RoguePlanet في Defender: الاستغلال يعمل على أنظمة مُرقَّعة حتى يونيو 2026.
- Morphisec — When Your Detector Becomes the Attack Surface: لماذا يُعدّ وكلاء الأمن ذوو الامتيازات أهدافًا عالية القيمة.
- Microsoft MSRC — CVE-2026-50656: التنبيه الرسمي وإرشادات التحديث التلقائي.
وقاص احمد وسیر
وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.



