La patch di mercoledì di Microsoft per una vulnerabilità zero-day nel suo motore di sicurezza Defender potrebbe avere un effetto collaterale: potrebbe riempire il disco rigido con file enormi, secondo il ricercatore che ha scoperto il difetto originale.

La vulnerabilità, tracciata come CVE-2026-50656 e soprannominata RoguePlanet, è stata divulgata a giugno da un ricercatore pseudonimo noto come NightmareEclipse, che ha anche pubblicato il codice di exploit. Il difetto consente a un aggressore remoto di ottenere il controllo amministrativo di macchine Windows 10 e Windows 11, anche con la protezione in tempo reale disabilitata. La patch di Microsoft aggiorna il motore di protezione antimalware Microsoft utilizzato da Defender e include "aggiornamenti di difesa in profondità" per migliorare la sicurezza.

Ma in un post di giovedì, NightmareEclipse ha affermato che queste mitigazioni introducono un nuovo problema: il driver mpengine.dll può perdere 8 byte di dati quando apre un file e, combinato con la funzionalità del servizio cloud SpyNet, potrebbe far sì che Defender scriva enormi quantità di dati su disco, esaurendo lo spazio disponibile. Normalmente, Defender limita le dimensioni dei file durante la scansione e la quarantena, ma il ricercatore ha trovato un'eccezione che coinvolge i file Zone.Identifier - metadati nascosti che Windows allega ai file scaricati.

Per sfruttare questo, un aggressore avrebbe bisogno di un server SMB personalizzato che serva un file dannoso (come mimikatz) seguito da un file ADS enorme (ad esempio, mimikatz.exe:Zone.Identifier). Non completando mai le richieste di lettura ma mantenendo viva la connessione, Defender si blocca e blocca il file, consumando spazio su disco. Sebbene ciò non blocchi la macchina, un disco pieno causa il crash casuale di app e servizi.

Microsoft non ha confermato immediatamente il comportamento. La disputa tra NightmareEclipse e Microsoft risale almeno a maggio, quando il ricercatore ha affermato che Microsoft ha corretto silenziosamente una vulnerabilità da loro segnalata. Da allora, il ricercatore ha rilasciato dettagli e codice di exploit per diversi difetti prima che Microsoft potesse correggerli. Microsoft ha criticato le divulgazioni come irresponsabili e ha accennato ad azioni legali, ma ha fatto marcia indietro dopo la reazione pubblica. La rivelazione di giovedì suggerisce che la faida continua.