Исследователь безопасности Nightmare-Eclipse обнаружил, что недавнее критическое обновление для Microsoft Defender позволяет хакерам заполнить всё свободное место на диске.

В прошлом месяце Microsoft признала наличие уязвимости нулевого дня (получившей в сообществе название RoguePlanet), а на прошлой неделе выпустила исправление. RoguePlanet позволяла повысить привилегии в системе, используя брешь в механизме защиты от вредоносных программ (Malware Protection Engine) антивируса Defender (файл mpengine.dll).
Компания устранила уязвимость, обновив этот компонент до версии 1.1.26060.3008. Было отмечено, что все предыдущие версии уязвимы, а апдейт распространяется автоматически вместе с регулярными обновлениями баз сигнатур Microsoft Defender. Последней уязвимой версией была 1.1.26050.11.
Однако, по словам исследователя, у этого исправления есть свои недостатки. При анализе обновленного компонента исследователь обнаружил утечку данных объёмом 8 байт, возникшую, судя по всему, из-за новых изменений, внедрённых Microsoft в рамках стратегии «глубоко эшелонированной защиты» (defense-in-depth). Согласно публикации в блоге, утечка наблюдается только на уровне драйверов ядра, а не в пользовательском режиме; считается, что напрямую использовать её для атаки пока нельзя, хотя исследования продолжаются.
Более серьёзную проблему представляет собой другой обнаруженный исследователем дефект: из-за него обновлённый компонент Defender может занять практически всё доступное дисковое пространство. Обычно Microsoft Defender ограничивает размер сканируемых и помещаемых в карантин файлов, чтобы предотвратить чрезмерное использование памяти накопителя. Nightmare-Eclipse утверждает, что эти ограничения не распространяются на кэшированные альтернативные потоки данных (ADS) с меткой Zone.Identifier. Это теоретически позволяет заставить Defender записать на диск огромный кэш ADS.
Для демонстрации уязвимости (PoC) используется специально созданный вредоносный SMB-сервер, на котором размещён файл вместе с особым образом сформированным потоком ADS Zone.Identifier аномально большого размера. Преднамеренно задерживая выполнение определённых операций чтения и одновременно поддерживая активность SMB-сеанса, Defender, по-видимому, оставляет кэшированные файлы заблокированными, вместо того чтобы удалять их; это приводит к резкому росту объёма используемого дискового пространства вплоть до полного заполнения накопителя. Исследователь утверждает, что подобное поведение можно воспроизвести как в Windows 11 (версия 25H2), так и в Windows Server 2025. Он также изучает возможность применения этого метода через протокол WebDAV, что потенциально позволило бы полностью отказаться от использования SMB и беспрепятственно доставлять вредоносное ПО через интернет.
Microsoft не дала публичных комментариев по поводу выявленной проблемы переполнения диска в рамках своего бюллетеня безопасности, посвященного уязвимости RoguePlanet (CVE-2026-50656).
Между тем в ходе тестирования специалисты Windows Latest обнаружили, что файл с именем «CapabilityAccessManager.db-wal» может занимать большую часть системного дискового пространства в Windows 11, потребляя сотни гигабайт. Microsoft подтвердила наличие проблемы.
Источник: habr.com