Microsoft chciał jak najszybciej załatać niebezpieczną lukę typu zero-day w Windows Defenderze. Tymczasem autor odkrycia przekonuje, że opublikowana poprawka może stworzyć zupełnie nowy problem. Według jego analizy najnowsza wersja silnika antywirusowego zawiera mechanizm, który w określonych warunkach można wykorzystać do stopniowego zapełniania dysku komputera ofiary.
Cała historia rozpoczęła się od ujawnienia luki nazwanej RoguePlanet. Jej odkrywcą jest badacz bezpieczeństwa działający pod pseudonimem NightmareEclipse, który od pewnego czasu publicznie krytykuje Microsoft za sposób reagowania na zgłoszenia związane z bezpieczeństwem systemu Windows.
RoguePlanet otrzymała oznaczenie CVE-2026-50656. Luka pozwalała na uzyskanie uprawnień administratora w odpowiednio przygotowanym scenariuszu ataku. Po opublikowaniu przez badacza kodu demonstracyjnego Microsoft zdecydował się na szybkie wydanie poprawki jeszcze przed lipcowym Patch Tuesday.
Aktualizacja objęła bibliotekę mpengine.dll, odpowiadającą za działanie silnika wykrywającego złośliwe oprogramowanie w Windows Defenderze oraz innych rozwiązaniach zabezpieczających Microsoftu.
Nowe zabezpieczenia mają mieć słaby punkt
Według NightmareEclipse zmodyfikowany silnik antywirusowy nadal zawiera elementy, które mogą zostać wykorzystane przez cyberprzestępców. Badacz twierdzi, że podczas określonych operacji otwierania plików Defender może ujawniać niewielki fragment danych pamięci.
Sama wartość wycieku jest niewielka, jednak według autora analizy problem nie kończy się na tym. Odpowiednio przygotowany łańcuch działań miałby umożliwiać wykorzystanie kilku mechanizmów systemowych jednocześnie. Kluczową rolę odgrywają tutaj usługa SpyNet służąca do przesyłania podejrzanych plików do analizy, biblioteka mpengine.dll oraz funkcja Alternate Data Streams dostępna w systemie plików NTFS.
Atak nie kradnie danych. Może sparaliżować komputer
Najciekawszym elementem opisanego scenariusza jest jego cel. Zamiast przejmować dane użytkownika lub instalować złośliwe oprogramowanie, atak miałby doprowadzić do całkowitego zapełnienia dysku systemowego.
Badacz twierdzi, że napastnik mógłby zmuszać Windows Defender do przenoszenia bardzo dużych plików do kwarantanny. W efekcie ilość wolnego miejsca na dysku stopniowo malałaby aż do momentu, gdy system operacyjny zacznie działać niestabilnie.
Brak wolnej przestrzeni na partycji systemowej potrafi powodować liczne problemy. Windows może mieć trudności z instalacją aktualizacji, uruchamianiem aplikacji czy zapisywaniem danych tymczasowych. W skrajnych przypadkach komputer staje się praktycznie bezużyteczny.
Atak nadal wymaga specjalnych warunków
Na obecnym etapie wykorzystanie opisywanej techniki nie jest proste. NightmareEclipse wyjaśnia, że do przeprowadzenia ataku potrzebna jest odpowiednio przygotowana infrastruktura wykorzystująca niestandardowy serwer SMB.
Badacz poinformował jednak, że pracuje nad metodą pozwalającą wykorzystać problem zdalnie, bez konieczności stosowania takiej konfiguracji. Jeżeli uda mu się opracować skuteczniejszy scenariusz, znaczenie podatności może wyraźnie wzrosnąć. Autor testów przekazał, że udało mu się odtworzyć problem na komputerach z Windows 11 25H2 oraz Windows Server 2025.
Microsoft na razie milczy
Do tej pory Microsoft nie odniósł się publicznie do nowych zarzutów dotyczących poprawki. Firma nie potwierdziła również, czy prowadzi wewnętrzną analizę przedstawionych ustaleń.
Najbliższa okazja do opublikowania kolejnych poprawek pojawi się podczas nadchodzącego Patch Tuesday. To właśnie wtedy producent Windowsa tradycyjnie udostępnia zbiorcze aktualizacje bezpieczeństwa usuwające wykryte podatności.
Jeżeli analiza NightmareEclipse okaże się trafna, Microsoft może zostać zmuszony do przygotowania kolejnej aktualizacji silnika Windows Defender. Byłby to kolejny przypadek, w którym łatka eliminująca lukę bezpieczeństwa sama staje się początkiem kolejnego problemu wymagającego pilnej interwencji.
Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:
Microsoft załatał lukę w Windows Defender i otworzył kolejną. Może sparaliżować komputer