Исследователь безопасности Nightmare Eclipse (или Chaotic Eclipse) обнаружил, что недавнее критическое обновление Microsoft Defender можно использовать для полного заполнения диска. Исправление предназначено для уязвимости нулевого дня RoguePlanet, которую Microsoft признала в прошлом месяце. Ошибка в движке защиты от вредоносного ПО Defender (mpengine.dll) позволяла повысить привилегии в системе.
Microsoft устранила уязвимость в версии движка 1.1.26060.3008. Все более ранние версии считаются уязвимыми. Обновление устанавливается автоматически вместе со стандартными обновлениями безопасности Microsoft Defender. Последняя уязвимая версия – 1.1.26050.11.
Однако, по словам Nightmare Eclipse, исправление не обошлось без новых проблем. Изучив обновленную версию движка, исследователь обнаружил возможную утечку информации объемом 8 байт, которая, предположительно, появилась из-за новых механизмов защиты, добавленных Microsoft. Согласно публикации, утечка наблюдается только на уровне драйверов ядра и недоступна из пользовательского режима, поэтому пока не считается пригодной для эксплуатации. Тем не менее исследование продолжается.
Более серьезной исследователь считает другую проблему. По его словам, обновленный движок Defender можно заставить занять практически все свободное место на диске. В обычных условиях Microsoft Defender ограничивает размер файлов, которые сканирует и помещает в карантин, чтобы предотвратить чрезмерное использование дискового пространства. Однако, как утверждает Nightmare Eclipse, эти ограничения не распространяются на кэш альтернативных потоков данных (Alternate Data Streams, ADS) с меткой Zone.Identifier. Теоретически это позволяет вынудить Defender записать на диск кэш ADS практически неограниченного размера.
Для демонстрации проблемы исследователь создал вредоносный SMB-сервер. На нем размещался файл со специально сформированным и чрезмерно большим альтернативным потоком данных Zone.Identifier. Сервер намеренно задерживал отдельные операции чтения, но сохранял SMB-сессию активной. Из-за этого Microsoft Defender не удалял временные файлы и продолжал удерживать их в кэше. В результате объем занятых данных рос до полного заполнения диска. Проблему удалось воспроизвести в Windows 11, версия 25H2 и Windows Server 2025. Исследователь также проверяет, можно ли провести такую атаку через WebDAV. В этом случае злоумышленнику не потребуется SMB-сервер, а вредоносный файл можно будет доставить через интернет.
Microsoft пока публично не прокомментировала проблему с заполнением диска в бюллетене об уязвимости RoguePlanet, также отслеживаемой под идентификатором CVE-2026-50656.
Отметим, что недавно компания исправила ошибку Windows 11, из-за которой системный файл мог разрастаться до сотен гигабайт.

