انتقام هکر نامرئی از ردموند؛ انتشار اکسپلویت روز صفر «MiniPlasma» برای ویندوز ۱۱!
تنها چند روز پس از آنکه مایکروسافت با ماراتن ۱۲۰ وصله امنیتی مدعی بستن تمامی شکافهای بهار ۲۰۲۶ شد، یک محقق امنیتی با انتشار یک اکسپلویت روز صفر (Zero-day) به نام MiniPlasma، تمام ادعاهای این غول فناوری را نقش بر آب کرد. این ابزار مخرب که به صورت عمومی در گیتهاب منتشر شده، به کاربران عادی اجازه میدهد تا در آخرین نسخههای کاملاً آپدیت شده ویندوز ۱۱، به بالاترین سطح دسترسی سیستم یعنی SYSTEM دست پیدا کنند.
۱. تحلیل MiniPlasma: احیای یک مرده پس از ۶ سال!
داستان این آسیبپذیری به سپتامبر ۲۰۲۰ برمیگردد؛ زمانی که جیمز فورشاو، محقق معروف پروژه صفر گوگل، نقصی را در درایور فیلتر ابری ویندوز (cldflt.sys) کشف کرد که با شناسه CVE-2020-17103 ثبت و ظاهراً در دسامبر همان سال وصله شد.
اما محققی با نام مستعار Chaotic Eclipse یا Nightmare Eclipseفاش کرد که مایکروسافت یا هرگز این باگ را به درستی پچ نکرده و یا در بهروزرسانیهای بعدی، پچ امنیتی آن به طور سکوتبرانگیز حذف (Rollback) شده است. رسانه 24نیوز با تست این اکسپلویت روی یک ویندوز ۱۱ پرو کاملاً آپدیت شده (با پچهای می ۲۰۲۶)، تایید کرد که کد مخرب بدون هیچ تغییری کار میکند و یک خط فرمان با دسترسی لایه لایموت (SYSTEM) باز میکند.
۲. تکنیک فریب درایورهای ابری ویندوز
این اکسپلویت از نحوه برخورد درایور Cloud Filter ویندوز با ساخت کلیدهای رجیستری از طریق یک API مستند نشده به نام CfAbortHydration سوءاستفاده میکند. این باگ به مهاجم اجازه میدهد تا بدون بازبینیهای امنیتی مرسوم، کلیدهای رجیستری دلخواه خود را در هاو (Hive) کاربری پیشفرض سیستم ایجاد کرده و سطح دسترسی خود را از یک کاربر معمولی به مدیر کل سیستم ارتقا دهد.
این تصویر نشان میدهد که یک کاربر عادی ویندوز با سوءاستفاده از یک آسیبپذیری سیستمی، سطح دسترسی خود را به NT AUTHORITY\SYSTEM ارتقا داده است.
در این حالت، مهاجم به بالاترین سطح دسترسی محلی در سیستم دست پیدا میکند و کنترل کامل دستگاه را در اختیار میگیرد.
۳. زنجیره روزهای صفر؛ ماراتن انتقام علیه مایکروسافت
افشاگری MiniPlasma آخرین حلقه از زنجیره حملات بیپروای این محقق است. او پیش از این در ماه آوریل و می، چندین ابزار خطرناک دیگر را منتشر کرده بود:
- BlueHammer (CVE-2026-33825): باگ ارتقای سطح دسترسی ویندوز.
- YellowKey: ابزار خطرناک دور زدن قفل رمزنگاری BitLocker در ویندوز ۱۱ و ویندوز سرور ۲۰۲۵.
- UnDefend: ابزاری برای از کار انداختن کامل آنتیویروس پیشفرضWindows Defender.
نکته نگرانکننده برای تحریریه ۲۴ نیوز این است که تمامی ابزارهای قبلی این هکر، بلافاصله پس از انتشار عمومی، توسط گروههای باجافزاری در حملات واقعی مورد بهرهبرداری قرار گرفتهاند.
۴. پشت پرده بیانیه هکر: مایکروسافت زندگیام را نابود کرد
دلیل اینکه Chaotic Eclipse این کدهای گرانقیمت روز صفر را به جای فروش در بازار سیاه یا گزارش به مایکروسافت، به صورت رایگان منتشر میکند، یک خصومت شخصی عمیق است. او مدعی شده که مایکروسافت در جریان فرآیند پاداش باگ(Bug Bounty)، او را تهدید کرده و زندگی شخصیاش را به نابودی کشانده است. او در بیانیهاش میگوید: آنها با من مثل یک کودک بازی کردند و همه چیز را از من گرفتند. این انتشارها اعتراض من به رفتار کثیف این شرکت بزرگ است.
توصیههای اورژانسی ۲۴ نیوز برای کارشناسان IT:
از آنجا که هنوز هیچ وصله رسمی برای این روز صفر وجود ندارد، توصیه میشود:
- مانیتورینگ درایورcldflt.sys: رفتارهای مشکوک مربوط به فرآیندهای ابری ویندوز را در سیستمهای EDR رصد کنید.
- محدودسازی دسترسیهای استاندارد: تا زمان انتشار پچ اضطراری مایکروسافت، دسترسی کاربران محلی برای اجرای فایلهای اسکریپت ناشناس را از طریق Group Policy محدودتر کنید.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
