Le correctif de mercredi de Microsoft pour une vulnérabilité zero-day dans son moteur de sécurité Defender pourrait avoir un effet secondaire : il pourrait remplir votre disque dur de fichiers massifs, selon le chercheur qui a découvert la faille initiale.

La vulnérabilité, suivie sous le nom CVE-2026-50656 et surnommée RoguePlanet, a été divulguée en juin par un chercheur pseudonyme connu sous le nom de NightmareEclipse, qui a également publié un code d'exploitation. La faille permet à des attaquants distants d'obtenir un contrôle administratif sur les machines Windows 10 et Windows 11, même avec la protection en temps réel désactivée. Le correctif de Microsoft met à jour le moteur de protection contre les logiciels malveillants utilisé par Defender et inclut des « mises à jour de défense en profondeur » pour améliorer la sécurité.

Mais dans un article de jeudi, NightmareEclipse a déclaré que ces atténuations introduisent un nouveau problème : le pilote mpengine.dll peut fuiter 8 octets de données lors de l'ouverture d'un fichier, et combiné avec la fonctionnalité du service cloud SpyNet, pourrait amener Defender à écrire des quantités massives de données sur le disque, épuisant l'espace disponible. Normalement, Defender limite la taille des fichiers lors de l'analyse et de la mise en quarantaine, mais le chercheur a trouvé une exception impliquant les fichiers Zone.Identifier - des métadonnées cachées que Windows attache aux fichiers téléchargés.

Pour exploiter cela, un attaquant aurait besoin d'un serveur SMB personnalisé qui sert un fichier malveillant (comme mimikatz) suivi d'un fichier ADS massif (par exemple, mimikatz.exe:Zone.Identifier). En ne terminant jamais les demandes de lecture mais en maintenant la connexion active, Defender se bloque et verrouille le fichier, consommant de l'espace disque. Bien que cela ne plante pas la machine, un disque plein provoque le plantage aléatoire des applications et des services.

Microsoft n'a pas immédiatement confirmé le comportement. Le différend entre NightmareEclipse et Microsoft remonte au moins à mai, lorsque le chercheur a affirmé que Microsoft avait corrigé silencieusement une vulnérabilité qu'il avait signalée. Depuis lors, le chercheur a publié des détails et du code d'exploitation pour plusieurs failles avant que Microsoft ne puisse les corriger. Microsoft a critiqué ces divulgations comme irresponsables et a laissé entendre qu'il pourrait engager des poursuites judiciaires, mais a reculé après un tollé général. La révélation de jeudi suggère que la querelle continue.