Исправление Microsoft для Windows Defender может случайно заполнить ваш жесткий диск, утверждает исследователь
Исправление Microsoft для уязвимости нулевого дня в Windows Defender может случайно позволить злоумышленникам заполнить ваш жесткий диск, поскольку исправление одной ошибки, по-видимому, требует создания другой.
Среда Microsoft исправляет уязвимость нулевого дня в своем защитном движке Defender, но у этого может быть побочный эффект: он может заполнить ваш жесткий диск массивными файлами, по словам исследователя, обнаружившего исходную ошибку.
Уязвимость, отслеживаемая как CVE-2026-50656 и названная RoguePlanet, была раскрыта в июне псевдонимным исследователем, известным как NightmareEclipse, который также опубликовал код эксплойта. Ошибка позволяет удаленным злоумышленникам получить административный контроль над машинами Windows 10 и Windows 11, даже при отключенной защите в реальном времени. Исправление Microsoft обновляет движок защиты от вредоносных программ Microsoft Malware Protection Engine, используемый Defender, и включает "обновления защиты в глубину" для повышения безопасности.
Но в четверг NightmareEclipse заявил, что эти меры защиты вводят новую проблему: драйвер mpengine.dll может утекать 8 байт данных при открытии файла, и в сочетании с функциональностью облачного сервиса SpyNet может заставить Defender записывать огромные объемы данных на диск, исчерпывая доступное пространство. Обычно Defender ограничивает размеры файлов при сканировании и карантине, но исследователь нашел исключение, связанное с файлами Zone.Identifier — скрытыми метаданными, которые Windows добавляет к загруженным файлам.
Чтобы использовать это, злоумышленнику понадобится пользовательский SMB-сервер, который обслуживает вредоносный файл (например, mimikatz), за которым следует массивный ADS-файл (например, mimikatz.exe:Zone.Identifier). Никогда не завершая запросы на чтение, но поддерживая соединение активным, Defender зависает и блокирует файл, потребляя дисковое пространство. Хотя это не приведет к сбою машины, полный диск вызывает случайные сбои приложений и служб.
Microsoft не сразу подтвердила такое поведение. Спор между NightmareEclipse и Microsoft восходит как минимум к маю, когда исследователь заявил, что Microsoft молча исправила уязвимость, о которой он сообщил. С тех пор исследователь опубликовал детали и код эксплойта для нескольких ошибок до того, как Microsoft успела их исправить. Microsoft раскритиковала раскрытия как безответственные и намекнула на судебные иски, но отступила после общественного возмущения. Четверговое откровение предполагает, что вражда продолжается.
The Good Times
Новости в вашей почте.
Саркастический дайджест, доставляемый по вашему расписанию. Бесплатно.
Уже подписаны, но мы так и не доходим до вашего ящика? Загляните в папку «Спам» и нажмите «Не спам» (или «Убрать из спама»), чтобы вытащить нас из чистилища нежелательной почты. Заодно поможете и всем остальным.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.