A correção de quarta-feira da Microsoft para uma vulnerabilidade zero-day em seu mecanismo de segurança Defender pode ter um efeito colateral: ela pode encher seu disco rígido com arquivos enormes, de acordo com o pesquisador que descobriu a falha original.

A vulnerabilidade, rastreada como CVE-2026-50656 e apelidada de RoguePlanet, foi divulgada em junho por um pesquisador pseudônimo conhecido como NightmareEclipse, que também publicou código de exploração. A falha permite que invasores remotos obtenham controle administrativo de máquinas Windows 10 e Windows 11, mesmo com a proteção em tempo real desabilitada. A correção da Microsoft atualiza o Mecanismo de Proteção contra Malware da Microsoft usado pelo Defender e inclui "atualizações de defesa em profundidade" para melhorar a segurança.

Mas em uma postagem de quinta-feira, NightmareEclipse disse que essas mitigações introduzem um novo problema: o driver mpengine.dll pode vazar 8 bytes de dados ao abrir um arquivo e, combinado com a funcionalidade do serviço de nuvem SpyNet, pode fazer com que o Defender grave quantidades massivas de dados no disco, esgotando o espaço disponível. Normalmente, o Defender limita os tamanhos de arquivo durante a varredura e quarentena, mas o pesquisador encontrou uma exceção envolvendo arquivos Zone.Identifier - metadados ocultos que o Windows anexa a arquivos baixados.

Para explorar isso, um invasor precisaria de um servidor SMB personalizado que sirva um arquivo malicioso (como mimikatz) seguido por um arquivo ADS massivo (por exemplo, mimikatz.exe:Zone.Identifier). Ao nunca completar as solicitações de leitura, mas manter a conexão ativa, o Defender trava e bloqueia o arquivo, consumindo espaço em disco. Embora isso não trave a máquina, um disco cheio faz com que aplicativos e serviços travem aleatoriamente.

A Microsoft não confirmou imediatamente o comportamento. A disputa entre NightmareEclipse e a Microsoft remonta a pelo menos maio, quando o pesquisador afirmou que a Microsoft corrigiu silenciosamente uma vulnerabilidade que ele relatou. Desde então, o pesquisador divulgou detalhes e código de exploração para várias falhas antes que a Microsoft pudesse corrigi-las. A Microsoft criticou as divulgações como irresponsáveis e insinuou ações legais, mas recuou após reação pública. A revelação de quinta-feira sugere que a rixa continua.