Poprawka Microsoftu dla luki zero-day w Windows Defender może przypadkowo wypełnić twój dysk twardy, twierdzi badacz
Łatka Microsoftu na lukę zero-day w Windows Defender może przypadkowo pozwolić atakującym wypełnić twój dysk twardy, ponieważ naprawienie jednego błędu najwyraźniej wymaga stworzenia kolejnego.
Środowa łatka Microsoftu na lukę zero-day w silniku zabezpieczeń Defender może mieć efekt uboczny: może wypełnić twój dysk twardy ogromnymi plikami, według badacza, który odkrył pierwotną wadę.
Luka, oznaczona jako CVE-2026-50656 i nazwana RoguePlanet, została ujawniona w czerwcu przez anonimowego badacza znanego jako NightmareEclipse, który opublikował również kod exploita. Wada pozwala zdalnym atakującym uzyskać administracyjną kontrolę nad maszynami z Windows 10 i Windows 11, nawet gdy wyłączona jest ochrona w czasie rzeczywistym. Łatka Microsoftu aktualizuje silnik ochrony przed złośliwym oprogramowaniem używany przez Defender i zawiera „aktualizacje obrony w głąb” mające poprawić bezpieczeństwo.
Jednak w czwartkowym poście NightmareEclipse stwierdził, że te zabezpieczenia wprowadzają nowy problem: sterownik mpengine.dll może wyciekać 8 bajtów danych podczas otwierania pliku, a w połączeniu z funkcjonalnością usługi w chmurze SpyNet może spowodować, że Defender zapisze ogromne ilości danych na dysk, wyczerpując dostępne miejsce. Normalnie Defender ogranicza rozmiary plików podczas skanowania i kwarantanny, ale badacz znalazł wyjątek dotyczący plików Zone.Identifier – ukrytych metadanych, które Windows dołącza do pobranych plików.
Aby to wykorzystać, atakujący potrzebowałby niestandardowego serwera SMB, który serwuje złośliwy plik (np. mimikatz), a następnie ogromny plik ADS (np. mimikatz.exe:Zone.Identifier). Poprzez nigdy niekończenie żądań odczytu, ale utrzymywanie połączenia przy życiu, Defender zawiesza się i blokuje plik, konsumując miejsce na dysku. Choć nie spowoduje to awarii maszyny, pełny dysk powoduje losowe awarie aplikacji i usług.
Microsoft nie potwierdził od razu tego zachowania. Spór między NightmareEclipse a Microsoftem sięga co najmniej maja, kiedy badacz twierdził, że Microsoft po cichu załatał lukę, którą zgłosił. Od tego czasu badacz ujawnił szczegóły i kod exploita dla kilku luk, zanim Microsoft zdążył je załatać. Microsoft skrytykował te ujawnienia jako nieodpowiedzialne i sugerował kroki prawne, ale wycofał się po publicznym oburzeniu. Czwartkowe odkrycie sugeruje, że waśń trwa nadal.
The Good Times
Wiadomości w Twojej skrzynce.
Sardoniczne podsumowanie, dostarczane według Twojego harmonogramu. Bezpłatnie. Zrezygnuj kiedy chcesz.
Już subskrybujesz, ale nigdy do Ciebie nie docieramy? Zajrzyj do folderu spam i kliknij 'To nie spam' (lub 'Usuń ze spamu'), żeby wyciągnąć nas z czyśćca niechcianej poczty. Przy okazji pomożesz wszystkim innym.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.