Microsoft ha rilasciato due giorni fa la patch per la vulnerabilità RoguePlanet di Defender scoperta dal ricercatore di sicurezza Nightmare Eclipse. Quest’ultimo ha evidenziato che la soluzione implementata dall’azienda di Redmond potrebbe causare l’esaurimento dello spazio su disco.
Patch per Microsoft Defender con effetto collaterale
La vulnerabilità RoguePlanet (CVE-2026-50656) era presente nel Malware Protection Engine (mpengine.dll) di Microsoft Defender. Potrebbe essere sfruttata per accedere al sistema operativo (localmente o da remoto), ottenere privilegi SYSTEM e quindi eseguire qualsiasi operazione.
Nightmare Eclipse ha pubblicato il codice dell’exploit su GitHub. Microsoft ha rilasciato la patch lo scorso 8 luglio, senza ringraziare lo sviluppatore in quanto accusato di aver divulgato il codice dell’exploit senza attendere la disponibilità della patch (come fatto per altre vulnerabilità).
Microsoft ha aggiornato il Malware Protection Engine alla versione 1.1.26060.3008 per risolvere il problema (viene scaricato e installato automaticamente). Nightmare Eclipse ha pubblicato un post per evidenziare uno spiacevole effetto collaterale della soluzione implementata dall’azienda di Redmond.
Quando Microsoft Defender apre un file per la scansione copia su disco 8 byte di dati. Il software ha limiti per la dimensione dei file che possono essere scritti su disco per evitare che quelli messi in quarantena occupino molto spazio. C’è tuttavia un’eccezione alla regola. La funzionalità SpyNet, che invia report sulle applicazioni sospette a Microsoft, mantiene una copia locale del file Zone.Identifier. Contiene metadati che permettono di determinare l’origine dei file (ad esempio scaricati da Internet o ricevuti via email).
Defender salva su disco questi file indipendentemente dalla dimensione. Usando un server SMB potrebbe essere inviato un file infetto seguito da un file Zone.Identifier di grandi dimensioni. Il server SMB non risponde alla richiesta di lettura, ma mantiene la connessione aperta. Defender si blocca durante la scansione perché è occupato l’intero spazio su disco, rendendo inutilizzabile il sistema operativo.