Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла новую беду

Microsoft закрыла уязвимость в собственном антивирусном движке, которая позволяла получить полный контроль над системой через классическую гонку процессов. Уязвимость получила имя RoguePlanet и номер CVE-2026-50656, оценка по шкале CVSS — 7.8. Проблема сидела в mpengine.dll, том самом компоненте Microsoft Malware Protection Engine, который отвечает за сканирование, обнаружение и очистку файлов во всех продуктах линейки Defender.
Патч вышел спустя почти месяц после того, как детали уязвимости стали публичными — срок для критической дыры в антивирусе не самый быстрый. Исправленная версия движка — 1.1.26060.3008, обновление также включает набор defense-in-depth улучшений, укрепляющих ряд функций безопасности, названия которых компания не раскрывает. От пользователей никаких действий не требуется: механизм обновлений антивирусных движков и определений работает автоматически, проверка происходит ежедневно, а иногда и по нескольку раз в день при наличии интернет-соединения. При желании обновление можно инициировать вручную в любой момент.
Нашёл и раскрыл проблему исследователь, работающий под псевдонимом Chaotic Eclipse, он же Nightmare-Eclipse. По его описанию, RoguePlanet представляет собой race condition — состояние гонки, при эксплуатации которого можно породить оболочку с привилегиями уровня SYSTEM. Дальше уже дело техники: злоумышленник получает возможность выполнять произвольный код и совершать любые несанкционированные действия в системе. Особенность бага в том, что он срабатывает даже на полностью пропатченных машинах с обновлениями июньского Patch Tuesday 2026 года, причём совершенно неважно, включена защита в реальном времени или отключена. Занятная деталь: имя исследователя в официальных благодарностях Microsoft не указано — компания попросту не упомянула Chaotic Eclipse как первооткрывателя.
Это уже не первая находка исследователя в Defender — RoguePlanet стал четвёртой по счёту уязвимостью, обнаруженной им в этом продукте. Три предыдущие были закрыты ранее: BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) и RedSun (CVE-2026-41091). Складывается ощущение, что кто-то методично проверяет каждый угол движка Microsoft на прочность, и пока это удаётся довольно результативно.
Однако история получила неожиданное продолжение. Сам Chaotic Eclipse в публикации на своём сайте сообщил, что как раз те самые defense-in-depth улучшения, которые Microsoft добавила вместе с патчем, породили отдельную, новую проблему. Первая её часть — утечка данных: Defender при попытке открыть файл в определённых сценариях может «слить» 8 байт информации. Пока это затрагивает только драйверы, исследователь продолжает искать способ, при котором обычный пользователь тоже сможет получить доступ к этим утёкшим байтам.
Вторая часть куда интереснее и опаснее. Windows Defender имеет жёсткие лимиты на размер файлов при сканировании и помещении в карантин — сделано это, чтобы избежать исчерпания дискового пространства. Но нашлось исключение: функции SpyNet внутри mpengine.dll всегда кэшируют локальную копию файла Zone.Identifier ADS вне зависимости от его реального размера. Для тех, кто не в курсе — Zone.Identifier это скрытый метаданный-тег, технически известный как Alternate Data Stream (ADS), с помощью которого Windows отслеживает происхождение файлов, скачанных из интернета или полученных из ненадёжных источников. Именно этот механизм лежит в основе системы Mark of the Web, той самой метки, которая заставляет Windows предупреждать пользователя перед открытием подозрительного файла.
Эксплуатация строится вокруг протокола SMB — стандартного средства для общего доступа к файлам, принтерам и последовательным портам в локальной сети. Схема выглядит так: целевым объектом становится файл вида exe:Zone.Identifier, а вредоносный SMB-сервер, получая запрос на чтение, никогда не отвечает на него, но при этом держит соединение открытым и живым. Defender в этот момент попросту зависает, блокирует проблемные файлы и начинает съедать всё дисковое пространство целиком.
Прямого краша машины это не вызывает — система не падает мгновенно. Но при заполненном под завязку диске Windows начинает сбоить: множество приложений и служб рушатся в случайном порядке, без какой-либо предсказуемой логики. Подтверждено, что уязвимы Windows 11 25H2 и Windows Server 2025 — атака запускается простым посещением вредоносного SMB-сервера, после чего дисковое пространство исчезает полностью.
Chaotic Eclipse на этом не останавливается и сейчас пытается заставить эксплойт работать через WebDAV, чтобы обойти требование аутентификации, которое пока ограничивает применимость атаки. Издание The Hacker News уже обратилось к Microsoft за комментарием по поводу этой новой проблемы и обещает обновить материал, как только получит ответ компании.


Новое на сайте

Ссылка