Microsoftin uusin Windows Defender -päivitys voi aiheuttaa levytilan loppumisen
Microsoftin heinäkuussa julkaisema tietoturvakorjaus Windows Defenderiin voi tutkijoiden mukaan aiheuttaa levytilan täyttymisen ja sovellusten kaatumisia tietyissä olosuhteissa.

Microsoft julkaisi 7. heinäkuuta tietoturvapäivityksen, joka korjasi RoguePlanet-nimellä tunnetun tietoturvahaavoittuvuuden (CVE-2026-50656) Windows 10- ja Windows 11 -käyttöjärjestelmissä. Haavoittuvuuden arvioitiin saavan CVSS 3.1 -pisteytyksessä 7,8, mikä mahdollisti etähyökkääjän saada järjestelmänvalvojan oikeudet.
Haavoittuvuuden hyödyntäminen perustui kilpa-ajotilanteeseen Microsoft Defenderin tarkistusmoottorissa. Onnistuneen hyökkäyksen jälkeen hyökkääjä kykeni asentamaan ohjelmistoja, lukea tai poistaa tiedostoja, luomaan uusia käyttäjätilejä, poistamaan käytöstä turvatoimia ja siirtymään verkossa muihin koneisiin.
Kuitenkin tietoturva-asiantuntija NightmareEclipse havaitsi pian päivityksen julkaisun jälkeen, että uusi korjaus saattaa aiheuttaa uusia riskejä. Raportin mukaan Microsoft Malware Protection Engine -komponentti voi tietyissä tilanteissa vuotaa tietoja ja lisäksi se voi tallentaa suuria liitetiedostodatoja (ADS) paikallisesti päivittämättä tai poistamatta niitä.
Jos hyökkääjä yhdistää tämän haitalliseen SMB-palvelimeen ja käyttää suuria ADS-tiedostoja yhdessä esimerkiksi Mimikatz-työkalun kanssa, Defender voi jumiutua käsittelemään tiedostoja. Tämä voi johtaa siihen, että Defender lukitsee tiedostoja ja kuluttaa kaiken vapaan levytilan, vaikka itse järjestelmä ei kaatuisikaan siniseen ruutuun. Käyttäjät voivat kuitenkin havaita järjestelmän hidastumista ja sovellusten satunnaisia kaatumisia.