Microsofts fix voor Windows Defender zero-day kan per ongeluk je harde schijf vullen, zegt onderzoeker
Microsofts patch voor een Windows Defender zero-day kan per ongeluk je harde schijf vullen, want het oplossen van de ene bug creëert blijkbaar een andere.
De patch van Microsoft voor een zero-day kwetsbaarheid in zijn Defender-beveiligingsengine heeft mogelijk een bijwerking: het kan je harde schijf vullen met enorme bestanden, volgens de onderzoeker die het oorspronkelijke lek ontdekte.
De kwetsbaarheid, geregistreerd als CVE-2026-50656 en gedoopt RoguePlanet, werd in juni onthuld door een pseudonieme onderzoeker die bekend staat als NightmareEclipse, die ook exploitcode publiceerde. Het stelt externe aanvallers in staat om administratieve controle te krijgen over Windows 10- en Windows 11-machines, zelfs met realtime bescherming uitgeschakeld. Microsofts patch werkt de Microsoft Malware Protection Engine bij die door Defender wordt gebruikt en bevat 'defense-in-depth updates' om de beveiliging te verbeteren.
Maar in een bericht van donderdag zei NightmareEclipse dat deze mitigaties een nieuw probleem introduceren: de driver mpengine.dll kan 8 bytes aan data lekken bij het openen van een bestand, en in combinatie met SpyNet cloudservice-functionaliteit kan Defender enorme hoeveelheden data naar schijf schrijven, waardoor de beschikbare ruimte opraakt. Normaal gesproken beperkt Defender de bestandsgroottes tijdens scannen en in quarantaine plaatsen, maar de onderzoeker vond een uitzondering met Zone.Identifier-bestanden - verborgen metadata die Windows aan gedownloade bestanden toevoegt.
Om dit te exploiteren heeft een aanvaller een aangepaste SMB-server nodig die een kwaadaardig bestand (zoals mimikatz) serveert, gevolgd door een enorm ADS-bestand (bijv. mimikatz.exe:Zone.Identifier). Door leesverzoeken nooit te voltooien maar de verbinding in stand te houden, blijft Defender hangen en vergrendelt het bestand, waardoor schijfruimte wordt verbruikt. Hoewel dit de machine niet laat crashen, zorgt een volle schijf ervoor dat apps en services willekeurig crashen.
Microsoft bevestigde het gedrag niet onmiddellijk. Het dispuut tussen NightmareEclipse en Microsoft dateert van ten minste mei, toen de onderzoeker beweerde dat Microsoft stilletjes een kwetsbaarheid patchte die hij had gemeld. Sindsdien heeft de onderzoeker details en exploitcode voor verschillende lekken vrijgegeven voordat Microsoft ze kon patchen. Microsoft heeft de onthullingen bekritiseerd als onverantwoordelijk en hintte op juridische stappen, maar trok zich terug na publieke verontwaardiging. De onthulling van donderdag suggereert dat de vete voortduurt.
The Good Times
Nieuws in je inbox.
Een sardonische samenvatting, bezorgd op jouw schema. Gratis. Meld je af wanneer je wilt.
Al geabonneerd maar zie je ons nooit? Kijk in je spammap en klik op 'Geen spam' (of 'Verwijderen uit spam') om ons uit het ongewenste-mailvagevuur te bevrijden. Je helpt er iedereen mee.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.