قال الباحث الذي اكتشف الخلل إن التصحيح الذي أصدرته مايكروسوفت يوم الأربعاء لإصلاح ثغرة أمنية في محرك Defender الأمني ​​الخاص بها قد يتسبب في قيام أجهزة Windows بكتابة ملفات كبيرة بما يكفي لاستهلاك مساحة القرص المتوفرة بالكامل.

تم اكتشاف RoguePlanet، الذي يحمل الاسم CVE-2026-50656، للجمهور في يونيو عندما كشف عنه NightmareEclipse، وهو الاسم المستعار الذي يستخدمه أحد الباحثين، بالإضافة إلى التعليمات البرمجية لاستغلاله. تسمح الثغرة الأمنية للمهاجمين عن بعد بالحصول على تحكم إداري في الأجهزة التي تعمل بنظامي التشغيل Windows 10 وWindows 11، حتى عند تعطيل الحماية في الوقت الفعلي. على مدار الأشهر القليلة الماضية، نشر الباحث المجهول عددًا من تقارير الأيام الصفرية الأخرى التي دفعت شركة Microsoft إلى التدافع لتطوير التصحيحات.

كتابة ملفات ذات حجم غير محدود

قالت Microsoft يوم الأربعاء إنها قامت بتصحيح RoguePlanet بتحديث لمحرك الحماية من البرامج الضارة لـ Microsoft، والذي يستخدمه تطبيق Defender لمكافحة الفيروسات. سيتم تنزيل الإصلاح وتثبيته تلقائيًا دون أن يضطر المستخدمون إلى اتخاذ أي إجراء. يتضمن تحديث الأربعاء أيضًا “تحديثات متعمقة للدفاع للمساعدة في تحسين الميزات المتعلقة بالأمان.”

وفي منشور يوم الخميس، قال NightmareEclipse إن الإضافات الدفاعية المتعمقة تنتج سلوكًا قد يسمح للمهاجمين باستنفاد كل المساحة المتاحة على القرص الصلب عن طريق كتابة كميات هائلة من البيانات إليه. تؤدي عمليات التخفيف المقدمة حديثًا إلى إنشاء مشكلة في mpengine.dll، برنامج التشغيل المرتبط بمحرك الحماية من البرامج الضارة لـ Microsoft، والذي يؤدي في بعض الحالات إلى تسرب 8 بايت من البيانات عند محاولة فتح ملف. تلعب الوظائف الجديدة في SpyNet، وهي خدمة سحابية تسمح لـ Microsoft Security Essentials أو Forefront Endpoint Protection بإرسال تقارير حول البرامج والبرامج المشبوهة إلى Microsoft، دورًا أيضًا في السلوك المحتمل لكتابة الملفات على نطاق واسع.

يضع Defender عادةً حدودًا صارمة على حجم الملف الذي يمكن كتابته على القرص عند فحص الجهاز وعزله.

“هذا التنفيذ يجعل [sic] “هذا منطقي، لأن عزل ملف ضخم سيؤدي إلى استنفاد Defender بالكامل مساحة القرص المتوفرة،” كتب الباحث. “لقد وجدت استثناءً صغيرًا لهذه القاعدة، على ما يبدو أن وظائف Spynet في mpengine.dll تريد حقًا [sic] للاحتفاظ بنسخة محلية من ملف Zone.Identifier ADS ولا يهم حجم هذا الملف، سيقوم Windows Defender بتخزينه محليًا على أي حال.

شاركها.
اترك تعليقاً