Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости» » Интернет технологии
sitename
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»

Разработчики Microsoft выпустили патч для 0-day-уязвимости RoguePlanet в Microsoft Defender, однако исправление могло создать новую проблему. По словам исследователя Nightmare Eclipse, теперь атакующие могут вынудить Defender записывать на диск огромные файлы, пока свободное место не закончится.


Уязвимость RoguePlanet, ранее обнаруженная ИБ-исследователем Nightmare Eclipse, получила идентификатор CVE-2026-50656 (7,8 балла по шкале CVSS). Напомним, что проблема связана с возникновением состояния гонки в Microsoft Defender и позволяет повысить привилегии до уровня SYSTEM и выполнить произвольный код на полностью обновленных системах под управлением Windows 10 и Windows 11.


В конце прошлой недели инженеры Microsoft устранили баг, обновив движок Microsoft Malware Protection Engine до версии 1.1.26060.3008. Исправление загружается и устанавливается автоматически, поэтому пользователям не требуется предпринимать никаких дополнительных действий.


Помимо основного патча, обновление содержит дополнительные меры эшелонированной защиты. Как теперь утверждает Nightmare Eclipse, эти меры создали потенциальный вектор для DoS-атак, позволяющих полностью заполнить диск жертвы.


Исследователь объясняет, что обычно Defender ограничивает размер файлов, которые записывает при сканировании и помещении объектов в карантин. Это защищает систему от ситуации, когда обработка огромного файла занимает все доступное место. Однако специалист обнаружил новое исключение, связанное с облачной подсистемой SpyNet (позволяет Microsoft Security Essentials или Forefront Endpoint Protection отправлять отчеты о подозрительном ПО в Microsoft) и Zone.Identifier.


Zone.Identifier представляет собой скрытый альтернативный поток данных NTFS (alternative data stream), связанный с загруженным файлом. Windows автоматически добавляет поток Zone.Identifier к файлам, загруженным из интернета или полученным из других внешних источников. В нем хранится информация о происхождении файла и назначенной ему зоне безопасности.


По словам Nightmare Eclipse, проблема заключается в том, что после обновления Defender пытается сохранить локальную копию Zone.Identifier независимо от размера потока.


Исследователь пишет, что для эксплуатации нового бага требуется специально настроенный SMB-сервер, который будет обрабатывать запросы от Windows Defender. Этот сервер должен передать Defender подозрительный файл — исследователь приводит в качестве примера исполняемый файл Mimikatz. Затем он должен начать передавать огромный ADS (например, mimikatz.exe:Zone.Identifier). В определенный момент сервер перестанет отвечать на запросы чтения, однако не разорвет соединение.


В результате при обработке объекта произойдет сбой Defender, но он продолжит записывать данные, занимая место на диске, пока свободное пространство не закончится. Сама Windows при этом, вероятно, не прекратит работу, однако полностью заполненный диск будет провоцировать множественные сбои приложений и системных служб.




Представители Microsoft пока не подтвердили описанное исследователем поведение Defender и не ответили на вопросы СМИ о возможной новой проблеме.


Уязвимость RoguePlanet стала очередным эпизодом конфликта между Nightmare Eclipse и компанией Microsoft. Исследователь умышленно выкладывает в открытый доступ эксплоиты и информацию о 0-day-уязвимостях, обвиняя специалистов Microsoft Security Response Center в игнорировании отчетов об уязвимостях, блокировке его аккаунта, удалении репозиториев с эксплоитами и издевательствах.


Суммарно за последние месяцы Nightmare Eclipse обнародовал данные о восьми 0-day-багах в Defender, BitLocker и других компонентах Windows, включая BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586), MiniPlasma (CVE-2020-17103), GreatXML и RoguePlanet.


В Microsoft, в свою очередь, критиковали публикацию эксплоитов до выхода патчей и намекали на возможные юридические последствия для тех, чьи действия причиняют реальный ущерб пользователям. Однако после негативной реакции со стороны ИБ-сообщества представители компании заявили, что не намерены преследовать специалистов, занимающихся исследованиями безопасности.


Разработчики Microsoft выпустили патч для 0-day-уязвимости RoguePlanet в Microsoft Defender, однако исправление могло создать новую проблему. По словам исследователя Nightmare Eclipse, теперь атакующие могут вынудить Defender записывать на диск огромные файлы, пока свободное место не закончится. Уязвимость RoguePlanet, ранее обнаруженная ИБ-исследователем Nightmare Eclipse, получила идентификатор CVE-2026-50656 (7,8 балла по шкале CVSS). Напомним, что проблема связана с возникновением состояния гонки в Microsoft Defender и позволяет повысить привилегии до уровня SYSTEM и выполнить произвольный код на полностью обновленных системах под управлением Windows 10 и Windows 11. В конце прошлой недели инженеры Microsoft устранили баг, обновив движок Microsoft Malware Protection Engine до версии 1.1.26060.3008. Исправление загружается и устанавливается автоматически, поэтому пользователям не требуется предпринимать никаких дополнительных действий. Помимо основного патча, обновление содержит дополнительные меры эшелонированной защиты. Как теперь утверждает Nightmare Eclipse, эти меры создали потенциальный вектор для DoS-атак, позволяющих полностью заполнить диск жертвы. Исследователь объясняет, что обычно Defender ограничивает размер файлов, которые записывает при сканировании и помещении объектов в карантин. Это защищает систему от ситуации, когда обработка огромного файла занимает все доступное место. Однако специалист обнаружил новое исключение, связанное с облачной подсистемой SpyNet (позволяет Microsoft Security Essentials или Forefront Endpoint Protection отправлять отчеты о подозрительном ПО в Microsoft) и Zone.Identifier. Zone.Identifier представляет собой скрытый альтернативный поток данных NTFS (alternative data stream), связанный с загруженным файлом. Windows автоматически добавляет поток Zone.Identifier к файлам, загруженным из интернета или полученным из других внешних источников. В нем хранится информация о происхождении файла и назначенной ему зоне безопасности. По словам Nightmare Eclipse, проблема заключается в том, что после обновления Defender пытается сохранить локальную копию Zone.Identifier независимо от размера потока. Исследователь пишет, что для эксплуатации нового бага требуется специально настроенный SMB-сервер, который будет обрабатывать запросы от Windows Defender. Этот сервер должен передать Defender подозрительный файл — исследователь приводит в качестве примера исполняемый файл Mimikatz. Затем он должен начать передавать огромный ADS (например, mimikatz.exe:Zone.Identifier). В определенный момент сервер перестанет отвечать на запросы чтения, однако не разорвет соединение. В результате при обработке объекта произойдет сбой Defender, но он продолжит записывать данные, занимая место на диске, пока свободное пространство не закончится. Сама Windows при этом, вероятно, не прекратит работу, однако полностью заполненный диск будет провоцировать множественные сбои приложений и системных служб. Представители Microsoft пока не подтвердили описанное исследователем поведение Defender и не ответили на вопросы СМИ о возможной новой проблеме. Уязвимость RoguePlanet стала очередным эпизодом конфликта между Nightmare Eclipse и компанией Microsoft. Исследователь умышленно выкладывает в открытый доступ эксплоиты и информацию о 0-day-уязвимостях, обвиняя специалистов Microsoft Security Response Center в игнорировании отчетов об уязвимостях, блокировке его аккаунта, удалении репозиториев с эксплоитами и издевательствах. Суммарно за последние месяцы Nightmare Eclipse обнародовал данные о восьми 0-day-багах в Defender, BitLocker и других компонентах Windows, включая BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586), MiniPlasma (CVE-2020-17103), GreatXML и RoguePlanet. В Microsoft, в свою очередь, критиковали публикацию эксплоитов до выхода патчей и намекали на возможные юридические последствия для тех, чьи действия причиняют реальный ущерб пользователям. Однако после негативной реакции со стороны ИБ-сообщества представители компании заявили, что не намерены преследовать специалистов, занимающихся исследованиями безопасности.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: