Οι ενημερώσεις κώδικα για το Windows Defender θα μπορούσαν να επιτρέψουν στους εισβολείς 0 ημερών να γεμίσουν σκληρούς δίσκους

Μια ενημέρωση κώδικα που κυκλοφόρησε την Τετάρτη η Microsoft διορθώνει μια ευπάθεια zero-day στη μηχανή ασφαλείας Defender που θα μπορούσε να επιτρέψει στις μηχανές των Windows να γράφουν αρχεία αρκετά μεγάλα ώστε να καταναλώνουν πλήρως τον διαθέσιμο χώρο στο δίσκο, είπε ο ερευνητής που ανακάλυψε το ελάττωμα.

Το RoguePlanet, το οποίο παρακολουθείται ως CVE-2026-50656, ήρθε στη δημοσιότητα Τον Ιούνιο Όταν δημοσιεύτηκε από έναν ερευνητή που χρησιμοποιεί το ψευδώνυμο NightmareEclipse κώδικας Είναι για εκμετάλλευση. Η ευπάθεια επιτρέπει στους απομακρυσμένους εισβολείς να αποκτήσουν διαχειριστικό έλεγχο των μηχανών Windows 10 και Windows 11, ακόμη και όταν η προστασία σε πραγματικό χρόνο είναι απενεργοποιημένη. Τους τελευταίους μήνες, ανώνυμοι ερευνητές αποκάλυψαν μια χούφτα άλλες zero-days που οδήγησαν τη Microsoft να προσπαθεί να αναπτύξει ενημερώσεις κώδικα.

Γράψτε αρχεία απεριόριστου μεγέθους

Microsoft είπε Την Τετάρτη ενημέρωσε το RoguePlanet με μια ενημέρωση στη μηχανή προστασίας κακόβουλου λογισμικού της Microsoft, η οποία χρησιμοποιείται από την εφαρμογή προστασίας από ιούς Defender. Η ενημέρωση κώδικα θα γίνει αυτόματα λήψη και εγκατάσταση χωρίς καμία ενέργεια από τον χρήστη. Η ενημέρωση της Τετάρτης περιλαμβάνει “ενημερώσεις σε βάθος άμυνας που βοηθούν στη βελτίωση των λειτουργιών που σχετίζονται με την ασφάλεια”.

ΕΝΑ θέση Την Πέμπτη, το Nightmare Eclipse είπε ότι η προσθήκη άμυνας σε βάθος δημιουργεί συμπεριφορά που επιτρέπει στους επιτιθέμενους να εξαντλήσουν όλο τον διαθέσιμο χώρο γράφοντας μεγάλες ποσότητες δεδομένων σε σκληρούς δίσκους. Οι μετριάσεις που εισήχθησαν πρόσφατα στο mpengine.dll, ένα πρόγραμμα οδήγησης που σχετίζεται με το Microsoft Malware Protection Engine, προκαλούν ένα πρόβλημα που διαρρέει 8 byte δεδομένων κατά την προσπάθεια ανοίγματος ενός αρχείου σε ορισμένες περιπτώσεις. Νέα λειτουργικότητα σε είδος παλαιού πιάνουΜια υπηρεσία cloud που επιτρέπει στο Microsoft Security Essentials ή στο Forefront Endpoint Protection να στέλνει αναφορές στη Microsoft σχετικά με ύποπτο λογισμικό και προγράμματα παίζει επίσης ρόλο στην πιθανή συμπεριφορά μαζικής εγγραφής αρχείων.

Το Defender συνήθως θέτει αυστηρούς περιορισμούς στον τρόπο με τον οποίο μπορούν να εγγραφούν μεγάλα αρχεία στο δίσκο κατά τη διάρκεια μιας μηχανής σάρωσης και καραντίνας.

“Αυτή η υλοποίηση (sic) έχει νόημα, επειδή η απομόνωση ενός μεγάλου αρχείου θα εξαντλούσε πλήρως τον διαθέσιμο χώρο στο δίσκο στο Defender”, έγραψαν οι ερευνητές. “Βρήκα μια μικρή εξαίρεση σε αυτόν τον κανόνα, προφανώς η συνάρτηση spynet στο mpengine.dll θέλει πραγματικά να διατηρήσει ένα τοπικό αντίγραφο του αρχείου Zone.Identifier ADS (sic) και ανεξάρτητα από το πόσο μεγάλο είναι αυτό το αρχείο, το Windows Defender θα το αποθηκεύσει τοπικά ούτως ή άλλως.”

Σύνδεσμος πηγής