Correção da Microsoft para zero-day do Windows Defender pode acidentalmente encher seu disco rígido, diz pesquisador
A correção da Microsoft para uma vulnerabilidade zero-day no Windows Defender pode, ironicamente, permitir que invasores encham seu disco rígido, já que consertar um bug aparentemente cria outro.
A correção de quarta-feira da Microsoft para uma vulnerabilidade zero-day em seu mecanismo de segurança Defender pode ter um efeito colateral: ela pode encher seu disco rígido com arquivos enormes, de acordo com o pesquisador que descobriu a falha original.
A vulnerabilidade, rastreada como CVE-2026-50656 e apelidada de RoguePlanet, foi divulgada em junho por um pesquisador pseudônimo conhecido como NightmareEclipse, que também publicou código de exploração. A falha permite que invasores remotos obtenham controle administrativo de máquinas Windows 10 e Windows 11, mesmo com a proteção em tempo real desabilitada. A correção da Microsoft atualiza o Mecanismo de Proteção contra Malware da Microsoft usado pelo Defender e inclui "atualizações de defesa em profundidade" para melhorar a segurança.
Mas em uma postagem de quinta-feira, NightmareEclipse disse que essas mitigações introduzem um novo problema: o driver mpengine.dll pode vazar 8 bytes de dados ao abrir um arquivo e, combinado com a funcionalidade do serviço de nuvem SpyNet, pode fazer com que o Defender grave quantidades massivas de dados no disco, esgotando o espaço disponível. Normalmente, o Defender limita os tamanhos de arquivo durante a varredura e quarentena, mas o pesquisador encontrou uma exceção envolvendo arquivos Zone.Identifier - metadados ocultos que o Windows anexa a arquivos baixados.
Para explorar isso, um invasor precisaria de um servidor SMB personalizado que sirva um arquivo malicioso (como mimikatz) seguido por um arquivo ADS massivo (por exemplo, mimikatz.exe:Zone.Identifier). Ao nunca completar as solicitações de leitura, mas manter a conexão ativa, o Defender trava e bloqueia o arquivo, consumindo espaço em disco. Embora isso não trave a máquina, um disco cheio faz com que aplicativos e serviços travem aleatoriamente.
A Microsoft não confirmou imediatamente o comportamento. A disputa entre NightmareEclipse e a Microsoft remonta a pelo menos maio, quando o pesquisador afirmou que a Microsoft corrigiu silenciosamente uma vulnerabilidade que ele relatou. Desde então, o pesquisador divulgou detalhes e código de exploração para várias falhas antes que a Microsoft pudesse corrigi-las. A Microsoft criticou as divulgações como irresponsáveis e insinuou ações legais, mas recuou após reação pública. A revelação de quinta-feira sugere que a rixa continua.
The Good Times
Notícias na sua caixa.
Um resumo sardônico, entregue conforme sua agenda. Grátis. Cancele quando quiser.
Já está inscrito mas nunca chegamos à sua caixa de entrada? Veja a pasta de spam e clique em 'Não é spam' (ou 'Remover do spam') para nos tirar do purgatório do lixo eletrônico. De quebra, ajuda todo mundo.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.