La corrección de Microsoft para el zero-day de Windows Defender podría llenar accidentalmente tu disco duro, según investigador
El parche de Microsoft para un zero-day de Windows Defender podría permitir accidentalmente a atacantes llenar tu disco duro, porque arreglar un bug aparentemente requiere crear otro.
El parche del miércoles de Microsoft para una vulnerabilidad de día cero en su motor de seguridad Defender podría tener un efecto secundario: podría llenar tu disco duro con archivos masivos, según el investigador que descubrió la falla original.
La vulnerabilidad, rastreada como CVE-2026-50656 y apodada RoguePlanet, fue revelada en junio por un investigador seudónimo conocido como NightmareEclipse, quien también publicó código de explotación. La falla permite a atacantes remotos obtener control administrativo de máquinas Windows 10 y Windows 11, incluso con la protección en tiempo real desactivada. El parche de Microsoft actualiza el motor de protección contra malware de Microsoft utilizado por Defender, e incluye "actualizaciones de defensa en profundidad" para mejorar la seguridad.
Pero en una publicación del jueves, NightmareEclipse dijo que estas mitigaciones introducen un nuevo problema: el controlador mpengine.dll puede filtrar 8 bytes de datos al abrir un archivo, y combinado con la funcionalidad del servicio en la nube SpyNet, puede hacer que Defender escriba cantidades masivas de datos en el disco, agotando el espacio disponible. Normalmente, Defender limita los tamaños de archivo durante el escaneo y la cuarentena, pero el investigador encontró una excepción que involucra archivos Zone.Identifier: metadatos ocultos que Windows adjunta a los archivos descargados.
Para explotar esto, un atacante necesitaría un servidor SMB personalizado que sirva un archivo malicioso (como mimikatz) seguido de un archivo ADS masivo (por ejemplo, mimikatz.exe:Zone.Identifier). Al no completar nunca las solicitudes de lectura pero mantener la conexión activa, Defender se cuelga y bloquea el archivo, consumiendo espacio en disco. Si bien esto no bloqueará la máquina, un disco lleno hace que las aplicaciones y servicios fallen aleatoriamente.
Microsoft no confirmó de inmediato el comportamiento. La disputa entre NightmareEclipse y Microsoft se remonta al menos a mayo, cuando el investigador afirmó que Microsoft parcheó silenciosamente una vulnerabilidad que él reportó. Desde entonces, el investigador ha publicado detalles y código de explotación de varias fallas antes de que Microsoft pudiera parchearlas. Microsoft ha criticado las revelaciones como irresponsables y ha insinuado acciones legales, pero retrocedió después de la reacción pública. La revelación del jueves sugiere que la disputa continúa.
The Good Times
Noticias en tu bandeja.
Un resumen sardónico, entregado según tu horario. Gratis. Cancela cuando tu tolerancia al ingenio se agote.
¿Ya estás suscrito pero nunca llegamos a tu bandeja? Revisa la carpeta de spam y pulsa 'No es spam' (o 'Quitar de spam') para rescatarnos del purgatorio del correo basura. De paso ayudas a todos los demás.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.