Un parche para Windows Defender día 0 podría permitir a un atacante llenar el disco duro

El parche que Microsoft lanzó el miércoles para solucionar una vulnerabilidad de día cero en el motor de seguridad Defender podría provocar que las máquinas con Windows escriban archivos lo suficientemente grandes como para utilizar el espacio disponible en el disco, dijo el investigador que descubrió la falla.

RoguePlanet, rastreado como CVE-2026-50656, llamó la atención del público en junio cuando NightmareEclipse, seudónimo utilizado por un investigador, lo reveló juntos código para explotarlo. Esta vulnerabilidad permite a atacantes remotos obtener control administrativo de las máquinas con Windows 10 y Windows 11, incluso cuando se ha desactivado la protección en tiempo real. En los últimos meses, este investigador anónimo ha publicado varios otros días cero que han dificultado a Microsoft el desarrollo de parches.

Escribir archivos de tamaño ilimitado

microsoft dicho El miércoles parchearon RoguePlanet con una actualización del motor de protección contra malware de Microsoft, que utiliza la aplicación antivirus Defender. La solución se descargará e instalará automáticamente sin que el usuario tenga que realizar ninguna acción. La actualización del miércoles también incluye “actualizaciones de defensa en profundidad para ayudar a mejorar las funciones relacionadas con la seguridad”.

en un correo El jueves, NightmareEclipse dijo que la adición de defensa en profundidad resultó en un comportamiento que permitió a los atacantes utilizar todo el espacio disponible en un disco duro escribiendo grandes cantidades de datos en él. La mitigación recientemente introducida creó un problema en mpengine.dll, un controlador asociado con Malware Protection Engine de Microsoft, que en algunos casos provocó una fuga de datos de 8 bytes al intentar abrir el archivo. Nueva funcionalidad en Red espíaLos servicios en la nube que permiten a Microsoft Security Essentials o Forefront Endpoint Protection enviar informes sobre software y programas sospechosos a Microsoft también desempeñan un papel en el posible comportamiento de escritura masiva de archivos.

Defender suele imponer límites estrictos al tamaño de los archivos que se pueden escribir en el disco al escanear y poner en cuarentena una máquina.

“Esta implementación tiene sentido, porque poner en cuarentena archivos grandes haría que Defender consumiera espacio disponible en el disco”, escribieron los investigadores. “Encontré una pequeña excepción a esta regla, aparentemente la función spynet en mpengine.dll en realidad quiere guardar una copia local del archivo ADS Zone.Identifier y no importa qué tan grande sea este archivo, Windows Defender lo almacenará en caché localmente”.



Source link