الأحد 05 يوليو 2026 15:06:31 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

الأبحاث، الاستغلالات والأمن الهجومي

MiniPlasma يسلّط الضوء على برنامج تشغيل هادئ في ويندوز

إثبات مفهوم كُشف عنه حديثًا يستهدف cldflt.sys يوضح كيف يمكن لمكوّن منخفض الظهور خاص بالملفات السحابية أن يصبح مسارًا إلى SYSTEM على أنظمة ويندوز المرقعة بالكامل.

تم تصميم ميزة الملفات السحابية في Windows لجعل المحتوى البعيد يبدو محليًا، لكن هذه السهولة تعتمد على بنية تحتية في وضع النواة لا يراها معظم المستخدمين أبدًا. يُقال إن MiniPlasma، وهو الاسم الذي أُطلق على إثبات مفهوم جديد لرفع الامتيازات، يستهدف cldflt.sys، وهو برنامج التشغيل Mini Filter Driver الخاص بـ Windows Cloud Files. لا يقتصر القلق على وجود الثغرة فحسب، بل أيضًا على أنها وُصفت بأنها تصل إلى امتيازات SYSTEM على أنظمة تم ترقيعها بالكامل بالفعل.

حقائق سريعة

  • يُوصف MiniPlasma بأنه مشكلة يوم صفر في ويندوز لرفع الامتيازات.
  • الهدف المذكور هو cldflt.sys، برنامج التشغيل Mini Filter Driver الخاص بـ Windows Cloud Files.
  • النتيجة المُدعاة هي امتيازات على مستوى SYSTEM على أنظمة ويندوز المرقعة بالكامل.
  • لم يُحدَّد علنًا مسار الاستغلال الدقيق في المادة التي جرى مراجعتها.
  • الأخطاء في وضع النواة مهمة لأنها تقع أسفل وسائل الدفاع المعتادة في مساحة المستخدم.

لماذا يهم هذا البرنامج

يقع cldflt.sys ضمن مكدس Windows Cloud Files، الذي يدعم الملفات النائبة وسلوك محركات المزامنة. وهذا يجعله جزءًا من نظام يربط نشاط المستخدم العادي بمنطق التخزين الأعمق. ومن منظور دفاعي، هذا هو بالضبط سبب لفت الانتباه: عندما تكمن الثغرة في عامل تصفية يعمل في وضع النواة، فإن الخطأ لا يقتصر على تطبيق واحد أو تبويب متصفح واحد. بل يمكن أن يؤثر في حدود الثقة الموجودة أسفل نظام الملفات نفسه.

تجعل وثائق Microsoft الخاصة ببرامج تشغيل عوامل تصفية نظام الملفات المخاطرة أسهل للفهم. تعمل Minifilters في النواة ويمكنها مراقبة إدخال/إخراج الملفات أو تعديله أثناء مروره عبر نظام التشغيل. عمليًا، يعني ذلك أن خطأً في أحد هذه المكونات قد تكون له عواقب أكبر بكثير مقارنةً بانهيار في وضع المستخدم أو خطأ في تطبيق.

كما أن مستوى الامتياز المعرض للخطر مهم أيضًا. SYSTEM هو حساب Windows الداخلي الذي يستخدمه نظام التشغيل والخدمات، ويتمتع بتحكم محلي واسع. الوصول إلى هذا المستوى يكون عادةً نهاية سلسلة رفع الامتيازات المحلية، لأنه يمكن أن يحول موطئ قدم محدودًا إلى سيطرة شبه كاملة على الجهاز. هذا لا يثبت وجود استغلال في الواقع، لكنه يفسر سبب إثارة الكشف عن PoC اهتمام المدافعين فورًا.

حتى وقت كتابة هذا التقرير، تدعم المعلومات المتاحة تحليلًا للمخاطر، لا بيانًا قاطعًا بشأن بدائية الاستغلال، أو النطاق الكامل للإصدارات المتأثرة، أو الحالة النهائية للمعالجة. هذا الغموض شائع في الإفصاحات المبكرة عن الثغرات، وهو أحد الأسباب التي تجعل أخطاء النواة تستحق التعامل معها بحذر: ينبغي للمدافعين التحقق من الأنظمة، ومراقبة إرشادات البائع، والتعامل مع إثباتات المفهوم ضد برامج تشغيل التخزين على أنها مادة مختبرية فقط.

الخلاصة

MiniPlasma تذكير بأن أخطر أخطاء Windows ليست دائمًا في الأماكن الواضحة. فبرنامج تشغيل صُمم لدعم راحة الخدمات السحابية يمكنه، إذا كان معيبًا، أن يصبح طريقًا إلى أعلى امتياز محلي. والدرس الأوسع بسيط: أمن نقاط النهاية الحديث يجب أن ينظر إلى ما هو أبعد من التطبيقات، وإلى خدمات النواة التي تجعل الميزات اليومية تعمل.

WIKICROOK

  • يوم صفر: ثغرة يتم الكشف عنها علنًا أو استغلالها قبل توفر إصلاح لها.
  • إثبات مفهوم (PoC): عرض يبيّن أن الثغرة يمكن تشغيلها عمليًا.
  • رفع الامتيازات: هجوم ينقل المستخدم من صلاحيات أقل إلى امتيازات نظام أعلى.
  • برنامج تشغيل Minifilter: مكوّن في وضع النواة لنظام الملفات يمكنه مراقبة نشاط الملفات أو تعديله.
  • SYSTEM: حساب Windows عالي الامتياز يستخدمه نظام التشغيل والخدمات الأساسية.