Среда Microsoft исправляет уязвимость нулевого дня в своем защитном движке Defender, но у этого может быть побочный эффект: он может заполнить ваш жесткий диск массивными файлами, по словам исследователя, обнаружившего исходную ошибку.

Уязвимость, отслеживаемая как CVE-2026-50656 и названная RoguePlanet, была раскрыта в июне псевдонимным исследователем, известным как NightmareEclipse, который также опубликовал код эксплойта. Ошибка позволяет удаленным злоумышленникам получить административный контроль над машинами Windows 10 и Windows 11, даже при отключенной защите в реальном времени. Исправление Microsoft обновляет движок защиты от вредоносных программ Microsoft Malware Protection Engine, используемый Defender, и включает "обновления защиты в глубину" для повышения безопасности.

Но в четверг NightmareEclipse заявил, что эти меры защиты вводят новую проблему: драйвер mpengine.dll может утекать 8 байт данных при открытии файла, и в сочетании с функциональностью облачного сервиса SpyNet может заставить Defender записывать огромные объемы данных на диск, исчерпывая доступное пространство. Обычно Defender ограничивает размеры файлов при сканировании и карантине, но исследователь нашел исключение, связанное с файлами Zone.Identifier — скрытыми метаданными, которые Windows добавляет к загруженным файлам.

Чтобы использовать это, злоумышленнику понадобится пользовательский SMB-сервер, который обслуживает вредоносный файл (например, mimikatz), за которым следует массивный ADS-файл (например, mimikatz.exe:Zone.Identifier). Никогда не завершая запросы на чтение, но поддерживая соединение активным, Defender зависает и блокирует файл, потребляя дисковое пространство. Хотя это не приведет к сбою машины, полный диск вызывает случайные сбои приложений и служб.

Microsoft не сразу подтвердила такое поведение. Спор между NightmareEclipse и Microsoft восходит как минимум к маю, когда исследователь заявил, что Microsoft молча исправила уязвимость, о которой он сообщил. С тех пор исследователь опубликовал детали и код эксплойта для нескольких ошибок до того, как Microsoft успела их исправить. Microsoft раскритиковала раскрытия как безответственные и намекнула на судебные иски, но отступила после общественного возмущения. Четверговое откровение предполагает, что вражда продолжается.