La buona notizia è che Microsoft ha corretto RoguePlanet, una vulnerabilità 0-day di Microsoft Defender che consentiva l’elevazione dei privilegi. La cattiva è che la patch non sembra essere priva di effetti collaterali. Un ricercatore di sicurezza ha scoperto che l’aggiornamento introduce un nuovo bug, capace di esaurire lo spazio su disco di un PC Windows 11.
La patch Defender per RoguePlanet
RoguePlanet (CVE-2026-50656) permetteva l’elevazione dei privilegi sfruttando una falla nel motore di protezione malware di Microsoft Defender. Microsoft l’ha corretta aggiornando il motore alla versione 1.1.26060.3008, distribuita automaticamente tramite gli aggiornamenti di intelligence di sicurezza di Defender. Le versioni precedenti alla 1.1.26050.11 sono vulnerabili.
Il ricercatore di sicurezza Nightmare-Eclipse, analizzando il motore aggiornato, ha scoperto che i limiti di dimensione che Defender applica normalmente ai file scansionati e messi in quarantena non si applicano ai flussi di dati alternativi Zone.Identifier (ADS) memorizzati nella cache.
In pratica, un server SMB malevolo può inviare un file preparato ad hoc. Durante la scansione, Microsoft Defender conserva nella cache una grande quantità di dati senza cancellarli al termine dell’operazione. Ripetendo il processo, lo spazio libero sul disco si esaurisce progressivamente.
Il comportamento è stato riprodotto su Windows 11 25H2 e Windows Server 2025. Il ricercatore sta indagando se la stessa tecnica funzioni su WebDAV, che eliminerebbe il requisito SMB e permetterebbe di consegnare l’attacco direttamente via Internet.
Il leak di 8 byte
Nightmare-Eclipse ha trovato anche quello che sembra essere un leak di informazioni da 8 byte introdotto dalle nuove modifiche “defense-in-depth” di Microsoft. Per ora è osservabile solo dai driver kernel, non dalla modalità utente, quindi non è ritenuto immediatamente sfruttabile. Ma la ricerca è in corso.
E Microsoft tace
Microsoft non ha commentato pubblicamente il problema del disco che si esaurisce. La patch per la vulnerabilità originale funziona. Ma il fatto che la correzione di una falla di sicurezza ne introduca un’altra, seppur diversa, è un promemoria che le patch di sicurezza non sono immuni da effetti collaterali.
Visto che Microsoft ha integrato MDASH e l’AI per individuare bug più velocemente, sarebbe utile se l’AI scovasse anche i bug nelle patch, prima che li trovino i ricercatori.