Présentation du problème
Un correctif publié par Microsoft pour une vulnérabilité 0-day dans le moteur de sécurité Defender pourrait permettre aux attaquants de remplir le disque dur d'un ordinateur. La vulnérabilité, connue sous le nom de RoguePlanet (CVE-2026-50656), a été découverte par un chercheur qui a publié du code pour l'exploiter.
Fonctionnement de la vulnérabilité
La vulnérabilité permet aux attaquants à distance de prendre le contrôle administratif des machines Windows 10 et Windows 11, même lorsque la protection en temps réel est désactivée. Le correctif apporté par Microsoft inclut des mises à jour de défense en profondeur pour améliorer les fonctionnalités de sécurité.
Implications et limites
Cependant, selon le chercheur, les mises à jour de défense en profondeur introduites pourraient permettre aux attaquants d'épuiser tout l'espace disponible sur un disque dur en écrivant d'énormes quantités de données. Le problème est dû à une fuite de 8 octets de données dans le driver mpengine.dll lors de la tentative d'ouverture d'un fichier. De plus, les nouvelles fonctionnalités de SpyNet, un service cloud qui permet à Microsoft Security Essentials ou Forefront Endpoint Protection d'envoyer des rapports sur les logiciels suspects, jouent également un rôle dans ce comportement.
Analyse technique
Normalement, Defender impose des limites strictes sur la taille des fichiers qui peuvent être écrits sur le disque lors de l'analyse et de la mise en quarantaine d'une machine. Cependant, le chercheur a découvert une petite exception à cette règle, liée aux fonctions de SpyNet dans mpengine.dll, qui peuvent conserver une copie locale d'un fichier Zone.Identifier ADS, quelle que soit sa taille.
mpengine.dll est ainsi capable de causer une fuite de données, permettant potentiellement aux attaquants de remplir le disque dur.