Nightmare Eclipse، پژوهشگر امنیتی شناختهشده با نام Chaotic Eclipse، مدت کوتاهی پس از انتشار بهروزرسانیهای Patch Tuesday مایکروسافت، یک اکسپلویت روز صفر (Zero-Day) جدید را برای سیستمعامل ویندوز منتشر کرده است. این ابزار که RoguePlanet نام دارد، با سوءاستفاده از یک آسیبپذیری شرایط رقابتی (Race Condition) در مایکروسافت دیفندر (Microsoft Defender) میتواند مهاجم را به سطح دسترسی SYSTEM برساند؛ قابلیتی که آزمایشها، عملکرد آن را روی برخی سیستمهای مجهز به جدیدترین پچهای امنیتی نیز تأیید کردهاند. بر اساس ادعای این پژوهشگر، اکسپلویت روز صفر RoguePlanet از یک ضعف امنیتی در مایکروسافت دیفندر برای اجرای افزایش سطح دسترسی لوکال (Local Privilege Escalation – LPE) بهره میبرد و میتواند کنترل بیشتری بر سیستم هدف در اختیار مهاجم قرار دهد.
نحوه عملکرد اکسپلویت روز صفر RoguePlanet
بر اساس توضیحات منتشرشده، این اکسپلویت روز صفر از یک آسیبپذیری شرایط رقابتی در مایکروسافت دیفندر بهره میبرد. به گفته Nightmare Eclipse، نسخه اولیه RoguePlanet با فریب کاربر برای باز کردن یک فایل .vhd(x) از روی یک سرور SMB راه دور یا دسترسی به یک اشتراک SMB، امکان اجرای کد از راه دور (RCE) را فراهم میکرد.
همچنین این پژوهشگر اعلام کرده است که اکسپلویت مذکور قابلیت دور زدن بیتلاکر (BitLocker) را نیز داشته است. در این سناریو، یک دستگاه تخصصی دادههایی را به درایور NTFS.sys ارسال کرده و پس از بررسی فایل مخرب توسط مایکروسافت دیفندر، فایل پاکسازیشده به مسیر دیگری هدایت میشود. به گفته او، RoguePlanet از همین عملکرد برای پیشبرد زنجیره حمله استفاده میکند.
با این حال، راهکارهای کاهش ریسک (Mitigations) که مایکروسافت در ماه می منتشر کرد، برخی از مسیرهای حمله را مسدود ساخت. در نتیجه، پژوهشگر ناچار شد اکسپلویت را بازطراحی کند؛ فرآیندی که به گفته او به زمان و تلاش قابل توجهی نیاز داشت.
در حال حاضر، مشخص نیست RoguePlanet صرفاً به افزایش سطح دسترسی لوکال محدود میشود یا اینکه میتوان آن را بهگونهای بازطراحی کرد که امکان اجرای کد از راه دور را نیز فراهم کند.
آزمایش موفق اکسپلویت روز صفر روی Windows 10 و Windows 11
به گفته Nightmare Eclipse، نمونه PoC در همه شرایط بهصورت پایدار اجرا نمیشود، اما آزمایشها نشان دادهاند که این اکسپلویت روز صفر روی سیستمهای مجهز به ویندوز 10 و 11 (Windows 10 و Windows 11) که پچهای امنیتی مربوط به ژوئن 2026 را دریافت کردهاند نیز قابل اجرا است.
پس از انتشار RoguePlanet، چندین پژوهشگر امنیتی مستقل نیز تأیید کردهاند که این اکسپلویت میتواند حتی روی سیستمهای پچشده، یک خط فرمان (Command Prompt) با سطح دسترسی SYSTEM ایجاد کند.
در حال حاضر گزارش شده است که PoC روی ویندوز سرور (Windows Server) اجرا نمیشود. با این حال، این پژوهشگر معتقد است نسخههای ویندوز سرور نیز احتمالاً در برابر این ضعف آسیبپذیر هستند، اما به دلیل محدودیت زمانی، امکان بازطراحی کد برای پشتیبانی از آنها فراهم نشده است.
ارتباط RoguePlanet با سایر اکسپلویتهای افشاشده
انتشار RoguePlanet دقیقاً همزمان با انتشار پچهای امنیتی Patch Tuesday ژوئن 2026 مایکروسافت برای دو آسیبپذیری دیگر انجام شد؛ مواردی که پیشتر توسط همین پژوهشگر افشا شده بودند.
این موارد شامل:
- GreenPlasma (CVE-2026-45586): آسیبپذیری افزایش سطح دسترسی لوکال در CTFMON
- YellowKey (CVE-2026-50507): آسیبپذیری دور زدن بیتلاکر
مایکروسافت پیشتر نیز مجموعه دیگری از آسیبپذیریهای افشاشده توسط این پژوهشگر را پچ کرده بود؛ از جمله:
- RedSun با شناسه CVE-2026-41091
- UnDefend با شناسه CVE-2026-45498
- BlueHammer با شناسه CVE-2026-33825
بر اساس گزارشها، برخی از این آسیبپذیریها پیش از انتشار پچهای امنیتی نیز در حملات واقعی (Exploited in the Wild) مورد سوءاستفاده قرار گرفته بودند.
اختلاف Nightmare Eclipse و مایکروسافت درباره افشای آسیبپذیریها
Nightmare Eclipse اعلام کرده است که انتشار این اکسپلویت روز صفر تا حد زیادی ناشی از نارضایتی او از روند افشای مسئولانه آسیبپذیریها (Responsible Disclosure) در مایکروسافت بوده است.
در مقابل، مایکروسافت تأکید کرده است که از پژوهشگران امنیتی انتظار دارد آسیبپذیریها را از طریق کانالهای رسمی گزارش دهند و هشدار داده است که با هرگونه فعالیت مخرب سایبری یا کمک به مجرمان سایبری برخورد قانونی خواهد کرد.
البته پس از شکلگیری موج گستردهای از واکنشهای منفی در جامعه امنیت سایبری، مایکروسافت اعلام کرد که قصد ندارد علیه پژوهشگران امنیتی که به تحقیق درباره آسیبپذیریها یا انتشار نتایج پژوهشهای خود میپردازند، اقدام حقوقی انجام دهد.
در مقابل، Nightmare Eclipse ضمن ادعای اقدام حقوقی مایکروسافت علیه خود، از مسدود شدن حساب گیتهاب خود خبر داد؛ موضوعی که در نهایت منجر به انتشار کد اکسپلویت RoguePlanet از طریق حساب کاربری جدیدی با نام MSNightmare شد.
