رکورد شکنی مایکروسافت در Patch Tuesday: ۲۰۸ آسیبپذیری و یک zero-day جدید برای Defender
مایکروسافت در دهم ژوئن ۲۰۲۶ بهروزرسانی امنیتی برای ۲۰۸ آسیبپذیری منتشر کرد — بزرگترین Patch Tuesday در ۲۳ سال تاریخ این برنامه. چند ساعت پس از انتشار این بهروزرسانی، یک محقق با نام مستعار Nightmare Eclipse کد اکسپلویت کارآمدی برای یک آسیبپذیری privilege escalation ناشناخته در Windows Defender منتشر کرد و تیمهای امنیتی سازمانی را با یکی از سختترین روزهای patch در تاریخ روبرو کرد.
یک باگ kernel با قابلیت خودگستری در صدر فهرست
فوریترین آسیبپذیری این ماه CVE-2026-45657 است، یک use-after-free با CVSS 9.8 در Windows Kernel TCP/IP stack. مایکروسافت این باگ را wormable توصیف میکند: یک مهاجم احراز هویتنشده از طریق اینترنت میتواند با ارسال پکتهای خاص به سیستم آسیبپذیر، به اجرای کد در سطح SYSTEM دست یابد — بدون نیاز به اعتبارنامه و بدون تعامل کاربر. سیستمهای آسیبپذیر شامل Windows 11 نسخههای 23H2 تا 26H1 بر روی معماری x64 و ARM64، و همچنین Windows Server 2022 و 2025 از جمله نسخههای Server Core میشوند.
تا کنون هیچ اکسپلویت عمومی تأییدشدهای برای CVE-2026-45657 وجود ندارد، اما محققان امنیتی در حال reverse-engineer کردن patch هستند. با توجه به ویژگیهای این آسیبپذیری، بازه زمانی تا ظهور یک اکسپلویت عمومی قابلاعتماد احتمالاً روزها خواهد بود، نه هفتهها.
شش zero-day، یکی در حال بهرهبرداری فعال
از میان ۲۰۸ CVE، شش آسیبپذیری zero-day وجود دارد که پنج تای آنها پیش از انتشار patch عمومی شده بودند. یکی از آنها — CVE-2026-42897، یک آسیبپذیری spoofing در Microsoft Exchange — پیش از انتشار patch در حملات واقعی مورد بهرهبرداری قرار میگرفت. سایر zero-dayهای مهم شامل GreenPlasma (CVE-2026-45586) برای privilege escalation در Windows Collaborative Translation Framework، YellowKey (CVE-2026-45585) و Bitskrieg (CVE-2026-50507) برای دور زدن BitLocker، و HTTP/2 Bomb (CVE-2026-49160) برای حملات denial-of-service علیه HTTP.sys میشوند.
رقم ۲۰۸ CVE که توسط محقق Dustin Childs از Trend Micro Zero Day Initiative شمارش شده، رکورد قبلی ۱۶۷ CVE در یک ماه را شکسته است. از کل آسیبپذیریها، ۳۳ مورد Critical هستند که ۲۸ تای آنها remote code execution میباشند.
RoguePlanet: یک zero-day جدید برای Defender در همان روز
چند ساعت پس از انتشار بهروزرسانی مایکروسافت، Nightmare Eclipse — محققی که طی ماههای اخیر چندین Windows zero-day با نامهایی مانند BlueHammer، RedSun و GreenPlasma منتشر کرده — اکسپلویت جدیدی به نام RoguePlanet برای Windows Defender منتشر کرد. این آسیبپذیری از یک race condition در منطق داخلی پردازش فایلهای Defender سوءاستفاده میکند و به یک کاربر معمولی بدون دسترسی ویژه اجازه میدهد کد دلخواه را با امتیاز SYSTEM بر روی ماشینهای کاملاً patchشده با Windows 10 و Windows 11 اجرا کند.
این اکسپلویت صد درصد قابلاعتماد نیست — چون race condition است، نرخ موفقیت بسته به پیکربندی هر ماشین متفاوت است — اما ThreatLocker تأیید کرد که روی سیستمهای Windows 11 با بهروزرسانی KB5094126 ماه ژوئن کار میکند. سازمانهایی که از application allowlisting استفاده میکنند میتوانند این بردار حمله را مسدود کنند.
Nightmare Eclipse در یک اختلاف عمومی مداوم با مایکروسافت بر سر سیاستهای افشای آسیبپذیری و پرداخت bug bounty قرار دارد. پس از اینکه مایکروسافت حذف مخازن این محقق را از GitHub و GitLab درخواست کرد، Nightmare Eclipse به یک پلتفرم self-hosted در projectnightcrawler.dev منتقل شده و به انتشار اکسپلویتهای جدید ادامه میدهد. CVE مربوط به RoguePlanet هنوز تخصیص داده نشده است.
اولویتبندی برای patch کردن
تیمهای امنیتی باید بهسرعت CVE-2026-45657 (باگ wormable در kernel TCP/IP stack) و CVE-2026-42897 (zero-day Exchange که در حال بهرهبرداری فعال است) را patch کنند و سپس به سراغ بقیه موارد بروند. برای آسیبپذیری RoguePlanet در Defender، هنوز patch وجود ندارد — application allowlisting و قوانین تشخیص endpoint تنها راهکارهای موجود هستند تا مایکروسافت رفع عیب کند. طبق گزارش BleepingComputer، فهرست کامل CVEها و محصولات آسیبپذیر در Microsoft June 2026 Security Update Guide موجود است.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source