Microsofts fix för Windows Defender nolldag kan oavsiktligt fylla din hårddisk, enligt forskare
Microsofts patch för en Windows Defender-nolldag kan oavsiktligt låta angripare fylla din hårddisk, eftersom att fixa en bugg tydligen kräver att man skapar en annan.
Microsofts onsdagspatch för en nolldagssårbarhet i sin Defender-säkerhetsmotor kan ha en bieffekt: den kan fylla din hårddisk med massiva filer, enligt forskaren som upptäckte det ursprungliga felet.
Sårbarheten, som spåras som CVE-2026-50656 och kallas RoguePlanet, avslöjades i juni av en pseudonym forskare känd som NightmareEclipse, som också publicerade exploateringskod. Felet tillåter fjärrangripare att få administrativ kontroll över Windows 10- och Windows 11-maskiner, även med realtidsskydd inaktiverat. Microsofts patch uppdaterar Microsoft Malware Protection Engine som används av Defender och inkluderar "defense-in-depth-uppdateringar" för att förbättra säkerheten.
Men i ett inlägg på torsdagen sa NightmareEclipse att dessa åtgärder introducerar ett nytt problem: drivrutinen mpengine.dll kan läcka 8 byte data när en fil öppnas, och i kombination med SpyNet-molntjänstens funktionalitet kan det få Defender att skriva massiva mängder data till disken, vilket förbrukar tillgängligt utrymme. Normalt begränsar Defender filstorlekar under skanning och karantän, men forskaren hittade ett undantag som involverar Zone.Identifier-filer - dold metadata som Windows bifogar till nedladdade filer.
För att utnyttja detta skulle en angripare behöva en anpassad SMB-server som serverar en skadlig fil (som mimikatz) följt av en massiv ADS-fil (t.ex. mimikatz.exe:Zone.Identifier). Genom att aldrig slutföra läsbegäranden men hålla anslutningen vid liv, hänger sig Defender och låser filen, vilket förbrukar diskutrymme. Även om detta inte kraschar maskinen, får en full disk appar och tjänster att krascha slumpmässigt.
Microsoft bekräftade inte omedelbart beteendet. Tvisten mellan NightmareEclipse och Microsoft går tillbaka till åtminstone maj, då forskaren påstod att Microsoft tyst patchade en sårbarhet de rapporterat. Sedan dess har forskaren släppt detaljer och exploateringskod för flera brister innan Microsoft kunde patchat dem. Microsoft har kritiserat avslöjandena som oansvariga och antytt rättsliga åtgärder, men backade efter offentlig kritik. Torsdagens avslöjande tyder på att fejden fortsätter.
The Good Times
Nyheter i din inkorg.
En sardonisk sammanfattning, levererad enligt ditt schema. Gratis. Avsluta prenumerationen när du vill.
Redan prenumerant men vi dyker aldrig upp? Kolla skräppostmappen och klicka på 'Inte skräppost' (eller 'Ta bort från skräppost') för att rädda oss ur skräppostens skärseld. På köpet hjälper du alla andra.
Rewrite Article
Select parts to regenerate with a fresh AI pass. Translations will be updated automatically.
Generate AI Image
Creates a sardonic version of the article image using OpenAI.