MiniPlasma، ثغرة جديدة في نظام ويندوز أعادت تسليط الضوء على مشكلات تصعيد الصلاحيات داخل النظام، إذ تسمح بالوصول إلى امتيازات SYSTEM حتى على الأجهزة المحدثة بالكامل، مع ظهور كود استغلال فعلي متاح للعامة. وتزداد أهمية القضية لأنها ترتبط ببرنامج التشغيل cldflt.sys، وبمسار حساس داخل آلية Cloud Filter.
ثغرة تعود إلى الواجهة من جديد
أثار الباحث الأمني المعروف باسم Chaotic Eclipse اهتمام مجتمع الأمن السيبراني بعد كشفه عن استغلال يعتمد على خلل سبق الإبلاغ عنه عام 2020، وحصل حينها على الرقم CVE-2020-17103، ثم أعلنت مايكروسوفت إصلاحه في تحديثات ديسمبر من العام ذاته، غير أن التطورات الأخيرة تشير إلى أن المشكلة لم تُغلق بصورة نهائية، أو أنها عادت للظهور بطريقة تسمح باستغلالها مجددًا.
ويكمن جوهر القضية في أن كود الإثبات الذي نشرته Google Project Zero قبل سنوات ما زال يعمل، وبصورة تكاد تكون مطابقة لما كان عليه سابقًا، وهذا ما يجعل MiniPlasma أكثر من مجرد اسم جديد لثغرة قديمة، بل دليلًا على أن بعض المسارات الحساسة داخل ويندوز قد تبقى قابلة لإعادة الاستغلال حتى بعد التصحيح.
ما الذي يجعل امتيازات SYSTEM خطيرة؟
الحصول على امتيازات SYSTEM في ويندوز يعني التحكم في أعلى مستوى صلاحيات داخل النظام، وهو ما يتيح للمهاجم تنفيذ إجراءات شديدة الخطورة، من تعديل الإعدادات الجوهرية إلى تعطيل وسائل الحماية أو زرع برمجيات خبيثة يصعب اكتشافها، وفي بيئات الشركات قد يتحول الاختراق من جهاز واحد إلى نقطة انطلاق نحو شبكة كاملة.
- لا يتطلب الاستغلال حسابًا إداريًا مسبقًا: إذ يمكن تنفيذ الهجوم دون امتلاك صلاحيات مرتفعة من البداية.
- يعمل على نسخة ويندوز 11 مع آخر تحديثات مايو 2026: ما يعني أن التحديثات الحالية لم تمنع الاستغلال وفق ما ورد.
- لا ينجح على نسخة Insider Canary: وهو ما يشير إلى وجود تعديل غير معلن في هذا الفرع التجريبي.
هذه المعطيات تبرز أن المشكلة ليست سطحية، بل تتعلق بمدى صلابة آليات التحقق الداخلية، فوجود خلل واحد في نقطة منخفضة المستوى قد يفتح الطريق أمام تجاوزات واسعة النطاق، حتى لو بدا النظام محميًا من الخارج.
كيف يستغل MiniPlasma برنامج cldflt.sys؟
يعتمد الاستغلال على واجهة غير موثقة تحمل اسم CfAbortHydration ضمن Cloud Filter، حيث يمكن، وفق ما كُشف، استغلال هذا المسار لإنشاء مفاتيح سجل داخل .DEFAULT من دون التحقق من الصلاحيات بالشكل الصحيح، وهو ما يتيح تنفيذ عملية يفترض أن تكون محصنة ضد الوصول غير المصرح به.
الخطورة هنا لا تأتي من شكل الهجوم نفسه فقط، بل من موقعه داخل البنية الداخلية للنظام، لأن استهداف برنامج تشغيل منخفض المستوى يجعل التأثير أعمق من مجرد خلل عابر، ويحوّل الثغرة إلى نقطة ارتكاز يمكن أن تُستخدم في التصعيد أو التلاعب بسلوك النظام.
لماذا يضغط هذا الكشف على مايكروسوفت؟
لا تبدو MiniPlasma حالة منفصلة، بل تأتي ضمن سلسلة من الإفصاحات التي نشرها الباحث نفسه خلال الأسابيع الماضية، ومن بينها BlueHammer وRedSun وأدوات مرتبطة بتعطيل Windows Defender، وقد ظهرت بعض هذه الأدوات لاحقًا في هجمات واقعية، وهذا يعزز القلق من أن الثغرات المنشورة ليست نظرية، بل قابلة للتطبيق العملي.
- تكرار الثغرات التصعيدية: يشير إلى أن المشكلة أعمق من ميزة واحدة بعينها.
- الحديث عن تصحيحات صامتة: يثير تساؤلات حول وضوح الاستجابة الأمنية ودرجة توثيقها.
- نجاح كود علني بعد التحديثات: يضع فعالية الإصلاحات تحت اختبار مباشر.
وفي الوقت نفسه، تؤكد مايكروسوفت التزامها بمبدأ الإفصاح المنسق وبالتحديثات الدورية لحماية المستخدمين، غير أن استمرار ظهور ثغرات من النوع نفسه يضع هذا الالتزام أمام اختبار صعب، خاصة عندما تكون المشكلة مرتبطة بمكونات أساسية في النظام.
كيف يتعامل المستخدمون مع هذا النوع من المخاطر؟
رغم أن الثغرة تقنية بامتياز، فإن أثرها يمس المستخدم العادي والمؤسسات على حد سواء، لأن التصعيد إلى SYSTEM لا يحتاج بالضرورة إلى بنية معقدة لتنفيذه، بل قد يبدأ من نقطة صغيرة ثم يتوسع إلى سيطرة أوسع، لذلك تصبح المتابعة الدقيقة للتحديثات ومراقبة السلوك غير المعتاد أمرًا مهمًا.
- التحقق من التحديثات الأمنية المنتظمة: مع متابعة أي إشعارات مرتبطة بإصلاحات ويندوز.
- مراقبة الأنشطة غير الطبيعية: خاصة التغييرات المفاجئة في السجل أو في إعدادات النظام.
- الاعتماد على سياسات حماية متعددة: حتى لا تبقى الحماية مرتبطة بطبقة واحدة فقط.
وفي بيئة تتزايد فيها الهجمات المعتمدة على استغلال الثغرات القديمة، يصبح فهم طبيعة المشكلة جزءًا من الحماية نفسها، لأن الأمن لا يقوم على التحديث وحده، بل على مراجعة دائمة لمدى فاعليته وحدوده، وهذا ما يجعل متابعة التقارير المتخصصة عبر بوابة مصر مهمة لكل من يهتم بأمن ويندوز وتطورات الثغرات الحرجة.
