بهروزرسانیهای امنیتی ماه ژوئن مایکروسافت، جزئیات یک آسیبپذیری روز-صفر جدید در Microsoft Defender با نام RoguePlanet را منتشر کرد که امکان ارتقای سطح دسترسی به SYSTEM را فراهم میکند.
به گزارش کمیته رکن چهارم، این آسیبپذیری که بر پایه یک Race Condition عمل میکند، به مهاجمان اجازه میدهد حتی روی نسخههای کاملاً بهروزرسانیشده ویندوز ۱۰ و ویندوز ۱۱ یک Command Prompt با سطح دسترسی SYSTEM اجرا کنند. کد اثبات مفهوم (PoC) این نقص نیز بهصورت عمومی منتشر شده است.
بررسیهای مستقل شرکت ThreatLocker نشان داده است که RoguePlanet روی سیستمهای مجهز به آخرین بهروزرسانیهای امنیتی ویندوز نیز قابل بهرهبرداری است. به گفته این شرکت، راهکارهای Application Allowlisting میتوانند از اجرای اکسپلویت جلوگیری کنند.
این آسیبپذیری در ابتدا بهعنوان یک نقص اجرای کد از راه دور (RCE) شناسایی شده بود و از نحوه پردازش فایلهای موجود روی اشتراکهای SMB توسط Microsoft Defender سوءاستفاده میکرد. با این حال، تغییرات اعمالشده از سوی مایکروسافت باعث شده در حال حاضر RoguePlanet عمدتاً بهعنوان یک آسیبپذیری ارتقای سطح دسترسی شناخته شود.
Nightmare Eclipse طی ماههای اخیر چندین آسیبپذیری روز-صفر دیگر از جمله BlueHammer، GreenPlasma، RedSun و YellowKey را نیز بهصورت عمومی منتشر کرده است. مایکروسافت تاکنون واکنش رسمی نسبت به RoguePlanet نشان نداده است.
کارشناسان امنیت سایبری هشدار میدهند که در صورت تأیید گسترده این نقص، RoguePlanet میتواند به یکی از مهمترین آسیبپذیریهای ویندوز در سال ۲۰۲۶ تبدیل شود؛ زیرا بهرهبرداری از آن روی سیستمهای وصلهشده نیز امکانپذیر است.
منبع: BleepingComputer
