ثغرة في “ويندوز ديفندر” تسمح باستبدال ملفات النظام ومنح صلاحيات كاملة للمخترقين
خلل في التعامل مع وسوم السحاب يحول مضاد الفيروسات إلى أداة لاختراق النظام

كشف باحثون أمنيون عن خلل تقني غير متوقع في برنامج الحماية الافتراضي لنظام ويندوز “Windows Defender”، حيث يقوم البرنامج بإعادة كتابة الملفات الخبيثة في مكانها الأصلي بدلاً من حذفها أو عزلها. الثغرة ترتبط بطريقة تعامل البرنامج مع الملفات التي تحمل ما يعرف بـ “وسم السحاب” (cloud tag)، وهو سلوك وصفه تقرير الثغرة بأنه يسهل عملية اختراق الأجهزة.
بمجرد أن يكتشف مضاد الفيروسات ملفاً ضاراً يحمل هذا الوسم، وبدلاً من حماية النظام، يتخذ قراراً بإعادة كتابة الملف مرة أخرى في مساره على القرص الصلب. هذا التصرف يسمح للمهاجمين باستغلال البرنامج كأداة لتجاوز حماية النظام واستبدال ملفات حساسة داخل ويندوز، مما يمهد الطريق للحصول على صلاحيات “المسؤول” (Administrative privileges) بشكل كامل.
من الناحية التقنية، تندرج هذه الثغرة تحت فئة “تصعيد الصلاحيات”، وهي ثغرات تكمن خطورتها في منح المهاجم قدرة على التحكم في كامل الجهاز بعد أن كان وصوله محدوداً. المثير في الأمر أن البرنامج المصمم لتطهير الجهاز من البرمجيات الضارة هو من يضمن في هذه الحالة بقاء الملف أو استخدامه لتخريب ملفات النظام الأساسية.
لم تصدر تفاصيل إضافية حول تحديثات فورية، لكن استغلال هذا السلوك يعتمد بشكل أساسي على وجود “وسم السحاب” الذي يربك محرك الفحص في ويندوز ديفندر ويجعله يتصرف عكس وظيفته الأساسية المتمثلة في الإزالة الفورية للتهديدات.











