Microsofts Patch vom Mittwoch für eine Zero-Day-Sicherheitslücke in seiner Defender-Sicherheits-Engine könnte einen Nebeneffekt haben: Er könnte Ihre Festplatte mit riesigen Dateien füllen, so der Forscher, der den ursprünglichen Fehler entdeckt hat.

Die Sicherheitslücke, die als CVE-2026-50656 verfolgt und RoguePlanet getauft wurde, wurde im Juni von einem pseudonymen Forscher namens NightmareEclipse offengelegt, der auch Exploit-Code veröffentlichte. Der Fehler ermöglicht es entfernten Angreifern, die administrative Kontrolle über Windows 10- und Windows 11-Rechner zu erlangen, selbst wenn der Echtzeitschutz deaktiviert ist. Microsofts Patch aktualisiert die von Defender verwendete Microsoft Malware Protection Engine und enthält „Defense-in-Depth-Updates“ zur Verbesserung der Sicherheit.

Aber in einem Beitrag vom Donnerstag sagte NightmareEclipse, dass diese Abhilfemaßnahmen ein neues Problem einführen: Der Treiber mpengine.dll kann beim Öffnen einer Datei 8 Bytes Daten leaken, und in Kombination mit der SpyNet-Cloud-Dienstfunktionalität könnte Defender große Datenmengen auf die Festplatte schreiben und so den verfügbaren Speicherplatz erschöpfen. Normalerweise begrenzt Defender die Dateigrößen beim Scannen und Quarantänisieren, aber der Forscher fand eine Ausnahme mit Zone.Identifier-Dateien – versteckte Metadaten, die Windows an heruntergeladene Dateien anhängt.

Um dies auszunutzen, müsste ein Angreifer einen benutzerdefinierten SMB-Server bereitstellen, der eine bösartige Datei (wie mimikatz) gefolgt von einer massiven ADS-Datei (z. B. mimikatz.exe:Zone.Identifier) bereitstellt. Indem er Leseanforderungen nie abschließt, aber die Verbindung aufrechterhält, hängt Defender und sperrt die Datei, wodurch Speicherplatz verbraucht wird. Während dies den Rechner nicht zum Absturz bringt, führt eine volle Festplatte dazu, dass Apps und Dienste zufällig abstürzen.

Microsoft bestätigte das Verhalten nicht sofort. Der Streit zwischen NightmareEclipse und Microsoft geht mindestens auf Mai zurück, als der Forscher behauptete, Microsoft habe eine von ihm gemeldete Sicherheitslücke stillschweigend gepatcht. Seitdem hat der Forscher Details und Exploit-Code für mehrere Fehler veröffentlicht, bevor Microsoft sie patchen konnte. Microsoft hat die Offenlegungen als unverantwortlich kritisiert und rechtliche Schritte angedeutet, aber nach öffentlichem Aufschrei nachgegeben. Die Enthüllung vom Donnerstag deutet darauf hin, dass der Streit weitergeht.