Microsoft Defender ha appena ricevuto una patch che, invece di mettere una pietra sopra al problema, ne apre un altro piuttosto fastidioso. La correzione riguarda la vulnerabilità battezzata RoguePlanet, individuata dal ricercatore di sicurezza Nightmare Eclipse, e stando a quanto emerso potrebbe portare a un esaurimento completo dello spazio su disco. Insomma, si tappa una falla e se ne rischia un’altra.
Cosa era RoguePlanet e perché Microsoft è intervenuta
La falla, identificata con la sigla CVE-2026-50656, si annidava dentro il Malware Protection Engine, il famoso file mpengine.dll che sta al cuore di Defender. Non era roba da poco. Sfruttandola, un malintenzionato poteva entrare nel sistema operativo sia in locale che da remoto, ottenere i privilegi SYSTEM e da lì fare praticamente qualsiasi cosa. Il livello massimo di controllo, per capirci.
Nightmare Eclipse ha deciso di pubblicare il codice dell’exploit su GitHub, mettendolo alla portata di chiunque. Microsoft ha rilasciato la patch l’8 luglio, aggiornando il Malware Protection Engine alla versione 1.1.26060.3008. Il download e l’installazione avvengono in automatico, quindi nessuno deve muovere un dito. Curioso però un dettaglio: l’azienda di Redmond non ha ringraziato lo sviluppatore. Il motivo è che avrebbe divulgato il codice dell’exploit senza aspettare che la correzione fosse disponibile, cosa che invece era stata fatta con altre vulnerabilità in passato.
L’effetto collaterale che può bloccare il PC
Qui arriva la parte scomoda. Nightmare Eclipse ha pubblicato un post per raccontare uno spiacevole risvolto della soluzione adottata da Microsoft. Quando Defender apre un file per analizzarlo, copia sul disco 8 byte di dati. Il software ha dei limiti sulla dimensione dei file che possono finire scritti su disco, proprio per evitare che quelli messi in quarantena si mangino tutto lo spazio disponibile. Fin qui tutto ragionevole.
Il problema è che esiste un’eccezione. La funzione SpyNet, quella che invia a Microsoft i report sulle applicazioni sospette, conserva una copia locale del file Zone.Identifier. Questo file contiene i metadati che servono a capire da dove arriva un documento, per esempio se è stato scaricato da Internet oppure ricevuto via email. E Defender salva su disco questi file senza tenere conto della loro dimensione.
Ed è proprio lì che casca l’asino. Usando un server SMB si potrebbe inviare prima un file infetto e poi un file Zone.Identifier di dimensioni enormi. Il server SMB, a quel punto, non risponde alla richiesta di lettura ma tiene la connessione aperta. Il risultato è che Defender rimane bloccato durante la scansione, perché nel frattempo l’intero spazio su disco viene saturato. E con il disco pieno, il sistema operativo diventa di fatto inutilizzabile.
Un meccanismo pensato per proteggere che, ironia della sorte, può trasformarsi in un modo per mandare in tilt la macchina. La segnalazione arriva dallo stesso ricercatore che aveva scovato la vulnerabilità originale, il che rende il tutto ancora più singolare.