ثغرة أمنية خطيرة في ويندوز تمنح التحكم الكامل بالنظام وظهور كود استغلال جديد
ظهور ثغرة جديدة في نظام ويندوز تحمل اسم MiniPlasma تتيح امتيازات SYSTEM.
الثغرة ترتبط ببرنامج التشغيل cldflt.
sys ضمن روتين HsmOsBlockPlaceholderAccess.
مايكروسوفت لم تعالج المشكلة بشكل كامل، مما يطرح تساؤلات حول فعالية التصحيحات.
الثغرة تضغط على مايكروسوفت بكشف نقاط ضعف قديمة وقابلة للاستغلال مجددًا.
تهميش التصحيحات الصامتة يهدد ثقة المستخدمين في التحديثات الأمنية الدورية.
في كل مرة نعتقد أن نظام التشغيل بات أكثر صلابة، يظهر خلل صغير يعيد التذكير بأن الأمن الرقمي معركة مستمرة. هذه المرة يأتي التحذير من ثغرة تصعيد صلاحيات جديدة في ويندوز تحمل اسم MiniPlasma، تسمح بالحصول على امتيازات SYSTEM حتى على الأنظمة المحدثة بالكامل، مع نشر كود استغلال فعلي للعامة.
ثغرة قديمة بوجه جديد
الباحث الأمني المعروف باسم Chaotic Eclipse كشف عن استغلال يعتمد على خلل في برنامج التشغيل cldflt.sys المسؤول عن Cloud Filter في ويندوز، وتحديدًا ضمن روتين HsmOsBlockPlaceholderAccess. اللافت أن الخلل نفسه كان قد أُبلغ عنه في 2020 وحصل على رقم CVE-2020-17103، وأعلنت مايكروسوفت إصلاحه في تحديثات ديسمبر من العام ذاته.
لكن بحسب الباحث، فإن المشكلة لم تُعالج فعليًا، أو أُعيد فتحها بطريقة ما. والأكثر إثارة أن كود الإثبات الأصلي الصادر من Google Project Zero قبل سنوات عمل دون تعديلات تُذكر، ما يطرح تساؤلات حول فعالية التصحيحات السابقة.
ماذا تعني صلاحيات SYSTEM فعليًا؟
الحصول على امتيازات SYSTEM في ويندوز يعني الوصول إلى أعلى مستوى تحكم ممكن داخل النظام. يمكن للمهاجم تعديل السجل، تثبيت برمجيات خبيثة، تعطيل الحماية، أو التحرك جانبيًا داخل الشبكة. وفي بيئات الشركات، يتحول الأمر من جهاز واحد مُصاب إلى تهديد للبنية التحتية كاملة.
لا يتطلب الاستغلال حسابًا إداريًا مسبقًا.
يعمل على نسخة ويندوز 11 مع آخر تحديثات مايو 2026.
لا ينجح على نسخة Insider Canary، ما يشير إلى تعديل غير مُعلن.
هذه التفاصيل تعكس إشكالية صامتة: المستخدم يظن أن التحديثات الشهرية كافية، بينما قد تبقى بعض المسارات الحساسة مفتوحة.
كيف يعمل الاستغلال تقنيًا؟
يعتمد MiniPlasma على إساءة استخدام واجهة غير موثقة تُدعى CfAbortHydration داخل برنامج Cloud Filter. وفقًا للتقارير الأصلية، يمكن عبر هذا المسار إنشاء مفاتيح سجل داخل .DEFAULT دون التحقق من الصلاحيات بالشكل المناسب. أي أن النظام يسمح بعملية حساسة دون حراسة كافية.
هذا النوع من الثغرات لا يبدو دراميًا في ظاهره، فهو لا يتضمن تنفيذ تعليمات عن بُعد أو كسر تشفير، لكنه يضرب في عمق نموذج الامتيازات داخل ويندوز. وأي خلل في آلية العزل أو التحقق يمكن أن يتحول إلى باب خلفي فعلي.
سلسلة إفصاحات تضغط على مايكروسوفت
الثغرة ليست حدثًا معزولًا. الباحث نفسه نشر خلال الأسابيع الماضية عدة استغلالات لويندوز مثل BlueHammer وRedSun وأدوات لتعطيل Windows Defender، وبعضها ظهر لاحقًا في هجمات حقيقية. هذا النمط المتكرر يزيد الضغط على مايكروسوفت، خصوصًا مع اتهامات بوجود تصحيحات صامتة دون إسناد أرقام CVE واضحة.
تكرار نشر ثغرات تصعيد الصلاحيات يكشف أن جوهر المشكلة ليس في ميزة محددة، بل في الطبقات الداخلية للنظام.
في المقابل، تؤكد مايكروسوفت التزامها بمبدأ الإفصاح المنسق وحماية المستخدمين عبر التحديثات الدورية. لكن الفجوة بين الإعلان والواقع تصبح أكثر وضوحًا عندما ينجح كود علني في تجاوز أحدث التصحيحات.
بين الثقة والتحديثات الصامتة
القصة هنا تتجاوز ثغرة واحدة. إنها تمس علاقة الثقة بين مزود النظام والمستخدم. التحديثات الأمنية تُفترض أنها خط الدفاع الأول، لكن حين يتبيّن أن خللًا مُعلنًا قبل سنوات لا يزال قابلًا للاستغلال، فإن السؤال يصبح حول آليات الاختبار، والمراجعة، وإدارة التصحيحات.
في عالم يعتمد بشكل شبه كامل على ويندوز في المؤسسات والحوسبة المكتبية، فإن أي خلل في برنامج تشغيل منخفض المستوى قد يتحول إلى نقطة ارتكاز للمهاجمين. MiniPlasma تذكير بأن الأمن ليس حالة ثابتة، بل توازن هش بين شيفرة معقدة ومهاجمين أكثر صبرًا مما نتوقع.
النتيجة النهائية ليست الذعر، بل إدراك أن معركة الصلاحيات العُليا داخل أنظمة التشغيل لم تُحسم بعد، وأن الشفافية في التعامل مع الثغرات قد تكون أحيانًا أهم من سرعة إصدار التحديث ذاته.