Microsoft, судя по всему, работает над улучшением пользовательского интерфейса Phone Link в Windows 11, что может потенциально снизить потребление ресурсов на системах за счет устранения скрытой утечки памяти. Утечки памяти и подобные проблемы никогда не бывают приятными, и компания недавно исправила еще одну аналогичную ошибку, которая приводила к очень высокому использованию дискового пространства встроенной службой.
Говоря о пожирателях ресурсов, недавний критический патч Microsoft Defender можно обманом заставить заполнить все дисковое пространство, как обнаружил исследователь безопасности Nightmare-Eclipse. Для контекста: Microsoft признала новую уязвимость нулевого дня, названную сообществом “RoguePlanet”, в прошлом месяце, а на прошлой неделе устранила эту проблему. RoguePlanet позволяла повышать привилегии, эксплуатируя уязвимость в механизме защиты от вредоносных программ Defender.
Компания устранила эту уязвимость, обновив механизм до версии 1.1.26060.3008, отметив, что уязвимы версии, предшествующие этому выпуску, и что обновление доставляется автоматически через регулярные обновления безопасности Microsoft Defender. Последней уязвимой версией была 1.1.26050.11.
Однако, что интересно, Nightmare-Eclipse утверждает, что патч не лишен проблем. При реверс-инжиниринге обновленного механизма исследователь заявляет, что обнаружил то, что выглядит как утечка информации размером 8 байт, вызванная новыми изменениями “глубокой защиты” Microsoft. Согласно сообщению в блоге, в настоящее время утечка наблюдается только из драйверов ядра, а не из пользовательского режима, поэтому считается, что она не может быть немедленно использована, хотя дальнейшие исследования продолжаются.
Однако более тревожной является другая проблема, обнаруженная исследователем, которая может позволить пропатченному механизму Defender потреблять практически все доступное дисковое пространство. Обычно Microsoft Defender устанавливает ограничения на размер файлов, которые он сканирует и помещает в карантин, чтобы предотвратить чрезмерное использование хранилища. Nightmare-Eclipse утверждает, что эти же ограничения не применяются к кэшированным альтернативным потокам данных (ADS) Zone.Identifier, что технически позволяет заставить Defender записывать на диск огромный кэш ADS.
Доказательство концепции (PoC) основано на пользовательском вредоносном SMB-сервере, размещающем файл вместе со специально созданным, чрезмерно большим ADS Zone.Identifier. Намеренно задерживая определенные операции чтения, сохраняя при этом активным SMB-сеанс, Defender, по-видимому, удерживает кэшированные файлы заблокированными вместо их очистки, что, в свою очередь, приводит к неконтролируемому росту использования диска до полного заполнения. Исследователь говорит, что такое поведение можно воспроизвести в Windows 11 25H2, а также в Windows Server 2025, добавляя, что они также изучают, можно ли применить ту же технику через WebDAV, что потенциально может полностью устранить требование SMB, доставляя вредоносное ПО беспрепятственно через интернет.
Microsoft публично не комментировала сообщение о проблеме исчерпания диска в рамках своего уведомления о RoguePlanet (CVE-2026-50656).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen




