یک اکسپلویت ویندوز قدیمی که درایور Cloud Filter را هدف قرار میدهد، بار دیگر به تیتر خبرهای امنیتی بازگشته است؛ این در حالی است که بررسیها نشان میدهد این اکسپلویت ویندوز حتی روی سیستمهای کاملاً بهروزرسانی شده نیز همچنان پتانسیل اجرایی دارد.
ظهور دوباره اکسپلویت ویندوز در درایور Cloud Filter
این آسیبپذیری که نخستینبار در سپتامبر 2020 توسط James Forshaw از تیم Google Project Zero شناسایی شد، به مهاجمان اجازه میداد بدون عبور از مکانیزمهای کنترل دسترسی، اقدام به ایجاد کلیدهای رجیستری دلخواه در بخش کاربری .DEFAULT کنند. اخیراً یک پژوهشگر امنیتی با نام مستعار Nightmare Eclipse، با بازنویسی کد اثبات مفهومی (PoC) این ضعف، موفق شد از آن برای افزایش سطح دسترسی لوکال (LPE) تا SYSTEM سوءاستفاده کند. این اکسپلویت ویندوز که اکنون با عنوان MiniPlasma شناخته میشود، طبق گفته این پژوهشگر، همچنان به همان شکل اولیه خود روی نسخههای مدرن فعال است و کدهای مخرب آن بدون نیاز به هیچ تغییری، پتانسیل اجرایی دارند.
MiniPlasma عملاً بازتولید یک ضعف قدیمی است که با شناسه CVE-2020-17103 رهگیری شده و به نحوه مدیریت ایجاد کلید رجیستری از طریق یک API غیرمستند مرتبط با درایور Cloud Filter مربوط میشود.
لازم به ذکر است که این آسیبپذیری از سوی NIST امتیاز 7.8 (High) دریافت کرده، اما مایکروسافت در ارزیابی داخلی خود امتیاز 7.0 را برای آن در نظر گرفته است.
تحلیل فنی MiniPlasma
این آسیبپذیری در درایور cldflt.sys (Windows Cloud Files Mini Filter Driver) و بهطور مشخص در روتین HsmOsBlockPlaceholderAccess قرار دارد؛ روتینی که وظیفه مدیریت قابلیتهای Cloud Sync (مانند فایلهای Placeholder در OneDrive) را بر عهده دارد.
ماهیت این ضعف، Race Condition یا به عبارتی شرایط رقابتی است؛ به همین دلیل، نرخ موفقیت اجرای اکسپلویت ممکن است در سیستمهای مختلف متغیر باشد، چرا که مهاجم باید دقیقاً در یک بازه زمانی بسیار کوتاه، از وضعیت رقابتیِ پردازشها در کرنل سیستمعامل برای دستیابی به امتیازات سطح SYSTEM سوءاستفاده کند.
Eclipse نیز اشاره کرده است که با وجود موفقیت PoC روی سیستمهایش، میزان موفقیت میتواند متغیر باشد، زیرا این ضعف وابسته Race Condition است.
نکته نگرانکننده اینجاست که با وجود انتشار پچ امنیتی در دسامبر 2020، اثرات این ضعف همچنان در برخی نسخههای سیستمعامل باقی مانده و قابل مشاهده است. این موضوع نشان میدهد که یا پچ اولیه ناقص بوده یا در بهروزرسانیهای بعدی، کدهای پچشده بهصورت ناخواسته تغییر کردهاند.
مقابله با تهدیدات
کارشناسان تأکید میکنند که این آسیبپذیری از نوع افزایش سطح دسترسی است و به همین دلیل امکان استفاده از آن برای نفوذ اولیه از راه دور وجود ندارد. با این حال، در سناریوهای پس از نفوذ، این ضعف میتواند بهعنوان ابزاری مؤثر در حرکت جانبی (Lateral Movement) مورد استفاده قرار گیرد. برای کاهش اثرات احتمالی هرگونه اکسپلویت ویندوز، استفاده از معماری تفکیک دقیق شبکه (Microsegmentation) در کنار مانیتورینگ مداوم توسط سامانههای تشخیص و پاسخ در Endpoint (EDR) بهطور جدی توصیه میشود.
چالش مدیریت پچ
بازگشت این آسیبپذیری نشاندهنده یک چالش ساختاری در مدیریت چرخه عمر کدهای قدیمی است. هر اکسپلویت ویندوز که پس از سالها مجدداً ظاهر میشود، لزوم بازنگری در فرآیندهای تضمین کیفیت نرمافزار (SQA) و مدیریت Regression را به مایکروسافت یادآور میشود. طبق گزارشها، این ضعف در بیشتر نسخههای ویندوز همچنان فعال است، با این حال نشانههایی از انجام تستهای اولیه توسط مایکروسافت برای ارائه پچ امنیتی در نسخههای آزمایشی (Windows 11 Canary) مشاهده شده است.
جریان افشای آسیبپذیریها و اکسپلویت ویندوز در سال 2026
این رخداد بخشی از یک جریان پیوسته و بحثبرانگیز از افشای آسیبپذیریها در سال 2026 است که توسط Nightmare Eclipse مدیریت میشود. گزارشها حاکی از آن است که انگیزه اصلی این پژوهشگر، نارضایتی از نحوه پاسخگویی مایکروسافت به گزارشهای پیشین بهویژه باگ BlueHammer بوده که منجر به این سلسلهافشاگریهایِ تهاجمی شده است.
نکته قابل تأمل، زمانبندی این اکسپلویت ویندوز است که تنها یک روز پس از چرخه امنیتی Patch Tuesday ماه می انجام شد؛ موضوعی که عملاً باعث شد تیمهای دفاعی در یک بازه زمانی حساس، پچ امنیتی رسمی برای مقابله با این تهدید در اختیار نداشته باشند.
تأثیرگذاری EDR برای جلوگیری از اکسپلویت ویندوز
سازمانها نباید صرفاً به پچهای سیستمعامل متکی باشند. یکپارچهسازی پلتفرمهای امنیتی با ابزارهایی نظیر CrowdStrike، Defenderیا SentinelOne میتواند مسیرهای سوءاستفاده از این اکسپلویت ویندوز را مسدود کند. با اتخاذ مدلهای امنیتی مدرن، میتوان سیستمهای آسیبپذیر را تا زمان انتشار پچ رسمی مایکروسافت در وضعیت قرنطینه و ایزوله قرار داد.
