Пользователь ставит очередное обновление Microsoft Defender и не замечает ничего необычного. А затем ноутбук начинает тормозить, приложения сыпятся с ошибками, а на диске внезапно не остаётся места. Именно такой сценарий теперь обсуждают после патча для RoguePlanet.
Какую проблему решаем
Microsoft закрыла 0-day-уязвимость RoguePlanet в Defender, но исследователь Nightmare Eclipse заявил, что исправление могло добавить новую проблему. По его словам, атакующий может заставить защитный модуль записывать на диск огромные данные, пока хранилище не закончится.
Речь идёт не о громкой кибердраме с удалённым взломом всего подряд, а о довольно приземлённой вещи: полный диск быстро ломает работу системы. Сбои начинают цепляться один за другой, и обычный пользователь видит лишь зависания, ошибки программ и проблемы со службами.
Что важно знать о самой уязвимости
RoguePlanet получила номер CVE-2026-50656 и оценку 7,8 балла по CVSS. Изначально баг связывали со состоянием гонки в Microsoft Defender: на полностью обновлённых Windows 10 и Windows 11 он мог помочь повысить привилегии до уровня SYSTEM и выполнить произвольный код.
Позже Microsoft выпустила обновление движка Microsoft Malware Protection Engine до версии 1.1.26060.3008. Оно ставится автоматически, без участия пользователя, так что отдельные действия здесь не нужны. Но, как утверждает Nightmare Eclipse, дополнительные меры защиты создали новый риск отказа в обслуживании.
Подробный разбор подобных историй полезно читать вместе с материалами о том, как уходят секреты из хранилищ: часто проблема начинается не с громкого взлома, а с одной недооценённой детали.
Как работает сценарий с заполнением диска
Исследователь описывает уязвимое место в обработке Zone.Identifier — скрытого потока данных NTFS, который Windows добавляет к файлам из внешних источников. В обычной ситуации Defender ограничивает размер таких данных, чтобы не упереться в нехватку места.
После обновления, по версии Nightmare Eclipse, модуль стал сохранять локальную копию Zone.Identifier независимо от размера потока. Для атаки нужен специально настроенный SMB-сервер, который отдаёт Defender подозрительный файл, а затем — очень большой альтернативный поток данных.
Если сервер в нужный момент перестаёт отвечать, но не рвёт соединение, Defender может продолжать писать данные на диск. В итоге место заканчивается, а система начинает сбоить.
Что сделать сейчас
Если у вас Windows 10 или Windows 11, проверьте, установилось ли свежее обновление Defender. На домашних устройствах этого обычно достаточно, чтобы закрыть исходный баг, но следить за поведением системы всё равно стоит.
Обратите внимание на свободное место на системном диске. Когда его мало, любой сбой в службах безопасности или синхронизации бьёт сильнее и быстрее.
Для удалённой работы и фриланса полезно держать под рукой [инструмент для защищённого удалённого доступа]https://freedome.space) — не ради магии, а чтобы меньше светить трафик и данные в чужих сетях.
Как проверить себя
Пользователю не нужно вручную искать эксплойты или тестировать защиту на живой системе. Достаточно проверить три вещи: установлены ли последние обновления, не забит ли диск под завязку и не появляются ли внезапные ошибки Defender или системных служб.
Если компьютер стал заметно медленнее после обновления, откройте мониторинг диска и посмотрите, нет ли аномального роста занятого места. Когда свободные гигабайты исчезают без понятной причины, это уже повод для проверки.
В похожих инцидентах, как показывал разбор ложных эксплойтов для исследователей, опаснее всего не сама публикация новости, а привычка игнорировать мелкие сигналы.
Что делать, если обновление уже поставилось и что-то пошло не так
Сначала освободите место на диске и проверьте журнал ошибок Windows. Если проблемы начались сразу после обновления Defender, имеет смысл дождаться следующего патча Microsoft и следить за официальными исправлениями.
Если система уже почти не загружается из-за нехватки места, удалите временные файлы, очистите корзину и перенесите крупные данные на другой носитель. Это не лечит причину, но возвращает управление компьютером.
- Проверить, установлен ли свежий движок Microsoft Malware Protection Engine
- Оценить свободное место на системном диске
- Посмотреть, не растут ли подозрительно данные, связанные с Defender
- Убрать лишние временные файлы и очистить корзину
- Следить за следующими обновлениями Microsoft
- Не открывать подозрительные вложения и архивы из внешних источников
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.