Обновление Microsoft Defender может позволить хакерам полностью заполнить дисковое пространство ПК с Windows 11
Исследователь безопасности Nightmare-Eclipse обнаружил, что недавнее критическое обновление для Microsoft Defender позволяет хакерам заполнить всё свободное место на диске.
В прошлом месяце Microsoft признала наличие уязвимости нулевого дня (получившей в сообществе название RoguePlanet), а на прошлой неделе выпустила исправление. RoguePlanet позволяла повысить привилегии в системе, используя брешь в механизме защиты от вредоносных программ (Malware Protection Engine) антивируса Defender (файл mpengine.dll).
Компания устранила уязвимость, обновив этот компонент до версии 1.1.26060.3008. Было отмечено, что все предыдущие версии уязвимы, а апдейт распространяется автоматически вместе с регулярными обновлениями баз сигнатур Microsoft Defender. Последней уязвимой версией была 1.1.26050.11.
Однако, по словам исследователя, у этого исправления есть свои недостатки. При анализе обновленного компонента исследователь обнаружил утечку данных объёмом 8 байт, возникшую, судя по всему, из-за новых изменений, внедрённых Microsoft в рамках стратегии «глубоко эшелонированной защиты» (defense-in-depth). Согласно публикации в блоге, утечка наблюдается только на уровне драйверов ядра, а не в пользовательском режиме; считается, что напрямую использовать её для атаки пока нельзя, хотя исследования продолжаются.
Более серьёзную проблему представляет собой другой обнаруженный исследователем дефект: из-за него обновлённый компонент Defender может занять практически всё доступное дисковое пространство. Обычно Microsoft Defender ограничивает размер сканируемых и помещаемых в карантин файлов, чтобы предотвратить чрезмерное использование памяти накопителя. Nightmare-Eclipse утверждает, что эти ограничения не распространяются на кэшированные
Читать на habr.com