Corecția Microsoft pentru o vulnerabilitate zero-day din Windows Defender ar putea umple accidental hard diskul, spune un cercetător
Corecția Microsoft pentru o vulnerabilitate zero-day din Windows Defender ar putea umple accidental hard diskul, deoarece repararea unui bug pare să creeze altul.
Corecția de miercuri a Microsoft pentru o vulnerabilitate zero-day în motorul său de securitate Defender ar putea avea un efect secundar: ar putea umple hard diskul cu fișiere masive, potrivit cercetătorului care a descoperit defectul inițial.
Vulnerabilitatea, urmărită sub codul CVE-2026-50656 și numită RoguePlanet, a fost dezvăluită în iunie de un cercetător pseudonim cunoscut ca NightmareEclipse, care a publicat și cod de exploatare. Defectul permite atacatorilor la distanță să obțină control administrativ asupra mașinilor Windows 10 și Windows 11, chiar și cu protecția în timp real dezactivată. Corecția Microsoft actualizează motorul de protecție împotriva malware-ului Microsoft folosit de Defender și include „actualizări de apărare în profunzime” pentru a îmbunătăți securitatea.
Dar într-o postare de joi, NightmareEclipse a spus că aceste măsuri de atenuare introduc o nouă problemă: driverul mpengine.dll poate scurge 8 octeți de date la deschiderea unui fișier și, combinat cu funcționalitatea serviciului cloud SpyNet, poate face ca Defender să scrie cantități masive de date pe disc, epuizând spațiul disponibil. În mod normal, Defender limitează dimensiunile fișierelor în timpul scanării și punerii în carantină, dar cercetătorul a găsit o excepție care implică fișierele Zone.Identifier – metadate ascunse pe care Windows le atașează fișierelor descărcate.
Pentru a exploata acest lucru, un atacator ar avea nevoie de un server SMB personalizat care servește un fișier malițios (cum ar fi mimikatz) urmat de un fișier ADS masiv (de exemplu, mimikatz.exe:Zone.Identifier). Necompletând niciodată cererile de citire, dar menținând conexiunea activă, Defender se blochează și blochează fișierul, consumând spațiu pe disc. Deși acest lucru nu va prăbuși mașina, un disc plin face ca aplicațiile și serviciile să se prăbușească aleatoriu.
Microsoft nu a confirmat imediat comportamentul. Disputa dintre NightmareEclipse și Microsoft datează cel puțin din mai, când cercetătorul a susținut că Microsoft a corectat în tăcere o vulnerabilitate raportată de el. De atunci, cercetătorul a publicat detalii și cod de exploatare pentru mai multe defecte înainte ca Microsoft să le poată corecta. Microsoft a criticat dezvăluirile ca fiind iresponsabile și a sugerat acțiuni legale, dar a renunțat după reacția publică. Dezvăluirea de joi sugerează că disputa continuă.
The Good Times
Știri în inbox-ul tău.
Un rezumat sardonic, livrat după programul tău. Gratuit. Dezabonează-te oricând.
Ești deja abonat dar nu ajungem niciodată în inbox? Verifică folderul de spam și apasă 'Nu este spam' (sau 'Elimină din spam') ca să ne scoți din purgatoriul mesajelor nedorite. Îi ajuți și pe ceilalți.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.