마이크로소프트가 수요일 자사 디펜더 보안 엔진의 제로데이 취약점을 패치했지만, 부작용이 있을 수 있다고 원래 결함을 발견한 연구원이 밝혔다. 바로 하드디스크를 거대한 파일로 가득 채울 수 있다는 것이다.

CVE-2026-50656로 추적되고 RoguePlanet으로 명명된 이 취약점은 6월에 가명 연구원 NightmareEclipse에 의해 공개되었으며, 익스플로잇 코드도 게시되었다. 이 결함은 원격 공격자가 실시간 보호가 비활성화된 상태에서도 윈도우 10 및 윈도우 11 머신의 관리자 제어권을 획득할 수 있게 한다. 마이크로소프트의 패치는 디펜더가 사용하는 Microsoft 맬웨어 보호 엔진을 업데이트하며, 보안을 강화하기 위한 "심층 방어 업데이트"를 포함한다.

그러나 목요일 게시물에서 NightmareEclipse는 이러한 완화 조치가 새로운 문제를 도입한다고 말했다. 드라이버 mpengine.dll이 파일을 열 때 8바이트의 데이터를 누출할 수 있으며, SpyNet 클라우드 서비스 기능과 결합되어 디펜더가 대량의 데이터를 디스크에 기록하여 사용 가능한 공간을 소진시킬 수 있다는 것이다. 일반적으로 디펜더는 스캔 및 격리 중 파일 크기를 제한하지만, 연구원은 Zone.Identifier 파일(윈도우가 다운로드한 파일에 첨부하는 숨겨진 메타데이터)과 관련된 예외를 발견했다.

이를 악용하려면 공격자는 악성 파일(예: mimikatz) 뒤에 거대한 ADS 파일(예: mimikatz.exe:Zone.Identifier)을 제공하는 사용자 지정 SMB 서버가 필요하다. 읽기 요청을 완료하지 않고 연결을 유지함으로써 디펜더가 멈추고 파일을 잠가 디스크 공간을 소모한다. 이로 인해 머신이 충돌하지는 않지만, 디스크가 가득 차면 앱과 서비스가 무작위로 충돌한다.

마이크로소프트는 이 동작을 즉시 확인하지 않았다. NightmareEclipse와 마이크로소프트 간의 분쟁은 적어도 5월로 거슬러 올라가며, 연구원이 마이크로소프트가 자신이 보고한 취약점을 조용히 패치했다고 주장했다. 그 이후로 연구원은 마이크로소프트가 패치하기 전에 여러 결함에 대한 세부 정보와 익스플로잇 코드를 공개했다. 마이크로소프트는 이러한 공개를 무책임하다고 비판하고 법적 조치를 암시했지만, 대중의 반발에 물러섰다. 목요일의 폭로는 불화가 계속되고 있음을 시사한다.