Патч для уязвимости нулевого дня в Windows Defender может позволить злоумышленникам заполнить жесткий диск.
Конфликт между NightmareEclipse и Microsoft, похоже, в ближайшее время не разрешится.
Фотоиллюстрация Игоря Головниова/SOPA Images/LightRocket via Getty Images
Исправление, выпущенное Microsoft в среду для устранения уязвимости нулевого дня в системе безопасности Defender, может привести к тому, что компьютеры под управлением Windows будут записывать файлы такого размера, что они полностью займут доступное дисковое пространство, заявил исследователь, обнаруживший эту уязвимость.
Уязвимость RoguePlanet, отслеживаемая как CVE-2026-50656, привлекла внимание общественности в июне, когда NightmareEclipse, псевдоним исследователя, раскрыл её вместе с кодом для эксплуатации. Уязвимость позволяет удалённым злоумышленникам получить административный контроль над машинами под управлением Windows 10 и Windows 11, даже если защита в реальном времени отключена. За последние несколько месяцев анонимный исследователь опубликовал ещё несколько уязвимостей нулевого дня, которые заставили Microsoft срочно разрабатывать патчи.
Запись файлов неограниченного размера
В среду компания Microsoft сообщила об обновлении RoguePlanet с помощью Microsoft Malware Protection Engine, используемого антивирусным приложением Defender. Исправление будет автоматически загружено и установлено без каких-либо действий со стороны пользователей. Обновление, выпущенное в среду, также включает в себя «углубленные обновления защиты, призванные улучшить функции, связанные с безопасностью».
В сообщении, опубликованном в четверг, NightmareEclipse заявила, что новые меры защиты создают поведение, которое может позволить злоумышленникам исчерпать все доступное пространство на жестком диске, записывая на него огромные объемы данных. Новые меры защиты создают проблему в mpengine.dll, драйвере, связанном с механизмом защиты от вредоносных программ Microsoft, что в некоторых случаях приводит к утечке 8 байт данных при попытке открыть файл. Новая функциональность SpyNet, облачного сервиса, позволяющего Microsoft Security Essentials или Forefront Endpoint Protection отправлять отчеты о подозрительном программном обеспечении и программах в Microsoft, также играет роль в потенциальном массовом записывании файлов.
Обычно Defender устанавливает жесткие ограничения на размер файла, который может быть записан на диск при сканировании и помещении компьютера в карантин.
«Такая реализация имеет смысл, потому что помещение огромного файла в карантин приведет к тому, что Defender полностью исчерпает доступное дисковое пространство», — написал исследователь. «Я обнаружил небольшое исключение из этого правила: по-видимому, функции spynet в mpengine.dll действительно хотят хранить локальную копию файла Zone.Identifier ADS, и неважно, насколько велик этот файл, Windows Defender все равно будет кэшировать его локально».
Zone.Identifier — это скрытый файл метаданных, иногда называемый альтернативным потоком данных, который Windows автоматически связывает с файлами, загруженными из Интернета, полученными по электронной почте или из других внешних источников. Поток данных позволяет Windows помечать источник файла и зону безопасности, которую он должен получить.
Исследовательская компания NightmareEclipse заявила, что злоумышленник может вызвать такое поведение, используя протокол Server Message Block (SDM), предназначенный для обмена файлами в локальной сети Windows. Он пояснил:
Для использования этой уязвимости потребуется специальная настройка: пользовательский SMB-сервер, который будет обрабатывать запросы от Windows Defender. SMB-сервер должен отправлять вредоносный файл (например, исполняемый файл mimikatz), а затем большой ADS-файл (например, mimikatz.exe:Zone.Identifier). В процессе ответа на запросы на чтение SMB-сервер в какой-то момент перестанет отвечать на запросы на чтение, а будет поддерживать соединение. Это приведет к зависанию Defender и блокировке вредоносных файлов, что займет все дисковое пространство.
Очевидно, это не приведет к сбою системы, но Windows будет работать некорректно при заполненном диске, множество приложений и служб будут случайным образом аварийно завершать работу.
Компания Microsoft не сразу ответила на вопросы о том, может ли она подтвердить существование описанного поведения.
Исследователь NightmareEclipse и Microsoft ведут ожесточенный спор как минимум с мая, когда, по словам исследователя, Microsoft незаметно устранила уязвимость, о которой он сообщил в частном порядке. В последующие недели исследователь опубликовал подробности и эксплойт-код для нескольких уязвимостей, прежде чем Microsoft успела их исправить. Microsoft, в свою очередь, публично обрушилась на исследователя за «безответственное» раскрытие информации об уязвимостях и сделала завуалированное упоминание о возможности судебного разбирательства. После негативной реакции общественности Microsoft уступила и поклялась, что никаких судебных исков не будет.
Выпад, произошедший в четверг, свидетельствует о том, что вражда еще не урегулирована.
Источник: arstechnica.com
Похожие записи
Оцените материал:
Похожие записи
Инфлюенсеры продвигают сомнительные пептиды. Насколько вы готовы рискнуть?
26.01.2026
Информационный бюллетень TDS: Главные статьи декабря о GraphRAG, контрактах на данные и многом другом.
11.01.2026
Размер фрагмента как экспериментальная переменная в системах RAG
07.01.2026Присоединяйтесь и подпишитесь на рассылку самых свежих новостей по Email
Получайте свежие новости и идеи на почту. Без спама — только самое интересное.
Нажимая «Подписаться», вы соглашаетесь с политикой конфиденциальности.
