【要約】Patch for Windows Defender 0-day could allow attackers to fill hard disk [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
研究者のNightmareEclipseが、Microsoftの修正パッチが引き起こす副作用を報告した。修正パッチが意図しない挙動を誘発し、システムの可用性を脅かしている。詳細は以下の通りである。
- ・CVE-2026-50656の修正が、新たなディスク枯渇リスクを生んでいる。
- ・mpengine.dllがファイルオープン時に8バイトのデータを漏洩させる。
- ・SpyNet機能が、巨大なZone.Identifier(ADS)を強制的にキャッシュする。
- ・これにより、Defenderがディスク容量を無限に消費する可能性がある。
// Approach
攻撃者はSMBプロトコルを悪用し、Defenderのファイル処理プロセスをハングさせる。カスタムSMBサーバーを用いて、特定の通信シーケンスを制御する手法が提案されている。具体的な手順は以下の通りである。
1.カスタムSMBサーバーを構築し、Defenderからの要求を制御する。
2.mimikatz.exeなどの悪意のあるファイルを配信する。
3.巨大なADSファイル(mimikatz.exe:Zone.Identifier)を要求する。
4.読み取り要求に対し、接続を維持したまま応答を停止する。
5.Defenderがファイルをロックしたままハングし、ディスクを占有する。
// Result
この脆弱性が悪用された場合、対象のWindowsマシンは深刻な可用性の低下に陥る。システム全体が停止するわけではないが、実運用に支障をきたす。具体的な影響は以下の通りである。
- ・ディスク容量が枯渇し、複数のアプリやサービスがランダムにクラッシュする。
- ・Windowsは稼働し続けるが、正常な動作が困難になる。
- ・Microsoftは、この挙動の事実確認について現時点で回答していない。
Senior Engineer Insight
> セキュリティパッチが新たなDoS攻撃の起点となる、典型的な「修正による副作用」の事例だ。特にADSのキャッシュ制御の不備は、大規模環境での運用を困難にする。可用性(Availability)の観点から、パッチ適用後のエンドポイントにおけるディスク使用率の異常検知を強化すべきだ。セキュリティと可用性のトレードオフを常に意識する必要がある。