Microsoft устранила критическую уязвимость повышения привилегий CVE-2026-50656 (RoguePlanet) в Microsoft Defender с оценкой 7,8 балла по CVSS, однако, по неподтверждённым данным исследователя, выпущенное исправление могло создать новый вектор для атак типа «отказ в обслуживании». Проблема затрагивает системы Windows 10 и Windows 11, а обновление движка Microsoft Malware Protection Engine до версии 1.1.26060.3008 устанавливается автоматически. Администраторам рекомендуется проверить версию движка и контролировать свободное дисковое пространство на критичных системах до получения официальных разъяснений от Microsoft.
Исходная уязвимость RoguePlanet
Согласно официальному бюллетеню Microsoft, уязвимость CVE-2026-50656 связана с состоянием гонки (race condition) в Microsoft Defender. По данным записи в NVD, уязвимость получила оценку 7,8 по шкале CVSS, что соответствует высокому уровню критичности. Эксплуатация позволяет повысить привилегии до уровня SYSTEM и выполнить произвольный код на полностью обновлённых системах.
Статус эксплуатации: для уязвимости существует публичный PoC-эксплоит, однако подтверждённых случаев активной эксплуатации в реальных атаках на момент публикации не зафиксировано. Уязвимость не внесена в каталог CISA KEV.
Предполагаемая регрессия: вектор DoS через Zone.Identifier
Помимо основного исправления, обновление включало дополнительные защитные меры. Исследователь Nightmare Eclipse утверждает в своём блоге, что эти меры создали потенциальный вектор для DoS-атаки, способной полностью заполнить системный диск. Важно подчеркнуть: это утверждение основано на единственном источнике и не подтверждено Microsoft.
По описанию исследователя, механизм проблемы выглядит следующим образом:
- В штатном режиме Defender ограничивает размер файлов, записываемых при сканировании и помещении объектов в карантин, предотвращая исчерпание дискового пространства.
- После обновления предположительно появилось исключение, связанное с облачной подсистемой SpyNet и обработкой альтернативных потоков данных NTFS (ADS) типа Zone.Identifier.
- Zone.Identifier — скрытый ADS, который Windows автоматически добавляет к файлам, загруженным из интернета, сохраняя информацию о происхождении файла и его зоне безопасности.
- По утверждению исследователя, после обновления Defender пытается сохранить локальную копию Zone.Identifier без ограничения размера потока.
Описанный сценарий эксплуатации
Согласно неподтверждённому описанию Nightmare Eclipse, для эксплуатации требуется специально сконфигурированный SMB-сервер, который:
- Обрабатывает запросы от Windows Defender и передаёт подозрительный исполняемый файл (исследователь приводит пример с Mimikatz).
- Начинает передавать аномально большой альтернативный поток данных (например, mimikatz.exe:Zone.Identifier).
- В определённый момент прекращает отвечать на запросы чтения, но не разрывает соединение.
В результате, по словам исследователя, Defender продолжает записывать данные на диск даже после сбоя обработки объекта, пока свободное пространство не будет полностью исчерпано. Операционная система при этом предположительно продолжает работать, однако заполненный диск провоцирует множественные сбои приложений и системных служб.
Степень достоверности и позиция Microsoft
Необходимо учитывать существенные ограничения в оценке данной информации:
- Описание нового вектора атаки исходит из единственного источника — блога исследователя, и не подтверждено независимыми экспертами.
- Microsoft на момент публикации не подтвердила описанное поведение Defender и не ответила на запросы СМИ по данному вопросу.
- Детали цепочки эксплуатации через SMB и неограниченную запись ADS не верифицированы первичными вендорскими источниками.
Контекст: серия раскрытий Nightmare Eclipse
Ситуация с RoguePlanet является частью продолжающегося конфликта между исследователем и Microsoft. По имеющимся данным, Nightmare Eclipse обнародовал информацию о нескольких уязвимостях нулевого дня в компонентах Windows, включая CVE-2026-33825 (BlueHammer), CVE-2026-41091 (RedSun), CVE-2026-45498 (UnDefend), CVE-2026-45585 (YellowKey) и CVE-2026-45586 (GreenPlasma). Исследователь обвиняет Microsoft Security Response Center в игнорировании отчётов и блокировке его аккаунтов, в то время как Microsoft критиковала публикацию эксплоитов до выхода патчей, но впоследствии заявила об отсутствии намерений преследовать исследователей безопасности.
Рекомендации
- Проверьте версию движка: убедитесь, что Microsoft Malware Protection Engine обновлён до версии 1.1.26060.3008 или выше — это закрывает подтверждённую уязвимость CVE-2026-50656.
- Мониторинг дискового пространства: до получения официальной позиции Microsoft по предполагаемой регрессии настройте оповещения о критическом снижении свободного места на системных дисках серверов и рабочих станций.
- Контроль SMB-трафика: на периметре и внутри сети ограничьте входящие SMB-подключения к доверенным источникам. Это снижает риск как для описанного сценария, так и для множества других атак через SMB.
- Аудит карантина Defender: периодически проверяйте размер каталога карантина Microsoft Defender на предмет аномального роста.
Основная подтверждённая угроза — CVE-2026-50656 — уже закрыта автоматическим обновлением движка Defender. Предполагаемый побочный эффект патча в виде DoS через Zone.Identifier остаётся неподтверждённым единичным заявлением. До официального ответа Microsoft разумной мерой будет настройка мониторинга дискового пространства и ограничение SMB-доступа к недоверенным ресурсам — эти действия полезны независимо от того, подтвердится ли новая проблема.