Falha no Windows Defender pode encher o SSD e travar o PC; Microsoft já liberou correção
Um patch de segurança lançado pela Microsoft na quarta-feira (8) para corrigir uma falha grave no Windows pode causar um efeito colateral absurdo : máquinas que receberam a atuali…

Um patch de segurança lançado pela Microsoft na quarta-feira (8) para corrigir uma falha grave no Windows pode causar um efeito colateral absurdo: máquinas que receberam a atualização passaram a gravar arquivos descontroladamente até consumir todo o espaço disponível no disco rígido.
O alerta partiu do pesquisador que usa o apelido NightmareEclipse, o mesmo que havia descoberto a vulnerabilidade original.
A mencionada “falha original“, chamada RoguePlanet e catalogada como CVE-2026-50656, veio a público em junho.
Ela permite que invasores assumam o controle total de PCs com Windows 10 e Windows 11, mesmo quando o antivírus do sistema operacional está com a proteção em tempo real desligada.
O pesquisador já havia divulgado outras falhas zero-day nos últimos meses, forçando a Microsoft a correr para (tentar) corrigir a bagunça.

O que mudou com o patch
Em julho, a correção veio por meio de uma atualização automática do Microsoft Malware Protection Engine, componente central do antivírus da companhia.
Usuários não precisaram fazer nada: o sistema baixou e instalou o pacote sozinho. A empresa também incluiu no pacote atualizações pensadas para reforçar recursos de proteção.
Hoje (9), NightmareEclipse publicou uma análise mostrando que essas novas camadas de defesa geraram um problema inesperado.
A biblioteca mpengine.dll, um driver ligado ao mecanismo de proteção, passou a vazar 8 bytes de informação toda vez que tenta abrir um arquivo.
Uma função do SpyNet, serviço em nuvem que envia relatórios sobre programas suspeitos para a Microsoft, também está envolvida nesse comportamento de gravação sem controle.
O limite que o Defender costuma respeitar
Normalmente, o Defender impõe um limite ao tamanho dos arquivos que grava no disco durante varreduras e quarentenas.
A lógica é simples: se o antivírus colocasse um arquivo gigantesco em quarentena, o disco lotaria. Contudo, o bom e velho NightmareEclipse descobriu uma brecha nessa regra.
As funções do SpyNet na mpengine.dll tentam manter uma cópia local de algo chamado arquivo ADS Zone.Identifier e, por sua vez, o Windows Defender armazena essa cópia em cache sem se importar com o tamanho.
O Zone.Identifier é um arquivo oculto de metadados, conhecido tecnicamente como fluxo de dados alternativo (Alternative Data Stream, ou ADS).
O Windows cria esse arquivo automaticamente para marcar itens baixados da internet ou recebidos por e-mail, registrando sua origem e a zona de segurança atribuída a eles.
Como um invasor pode disparar o problema
Um hacker consegue explorar essa brecha usando o protocolo SMB (Server Message Block), o mesmo recurso que permite compartilhar pastas e arquivos em redes locais Windows. A instalação exige um servidor SMB preparado sob medida para responder às requisições do Defender.
O servidor entrega um arquivo malicioso (o pesquisador cita o executável mimikatz como exemplo) e, na sequência, um arquivo ADS enorme, do tipo mimikatz.exe:Zone.Identifier.
Durante a troca de informações, o servidor para de responder, mas mantém a conexão ativa. O Defender trava e segura os arquivos ofensivos, que vão ocupando o SSD até esgotá-lo completamente.
A máquina não desliga de imediato, mas o Windows para de funcionar direito: aplicativos e serviços começam a travar aleatoriamente porque não há mais espaço livre.
Leia mais
- Atualização do Windows 11 corrige travamento do Explorer.exe
- Bug no Windows 11 está bloqueando atualizações desde fevereiro
- Microsoft prepara correção para bug que faz Windows 11 instalar drivers gráficos desatualizados
O embate entre o pesquisador e a Microsoft
Para piorar, o pesquisador NightmareEclipse e a Microsoft estão em conflito desde maio. Na ocasião, o pesquisador afirmou que a empresa corrigiu discretamente uma vulnerabilidade que ele havia reportado de forma privada.
Depois disso, ele passou a publicar detalhes e caminhos de exploração de várias falhas antes que os patches ficassem prontos.
A Microsoft criticou abertamente a conduta, acusando o pesquisador de não fazer divulgações responsáveis, e insinuou a possibilidade de medidas judiciais.
Diante da repercussão negativa, a empresa voltou atrás e declarou que não entraria com ações legais. De toda forma, a análise publicada recentemente sobre o caso destacado nesta matéria sugere que a briga ainda pode continuar.
A Microsoft não respondeu de imediato à mídia internacional quando questionada se confirmava o comportamento descrito pelo pesquisador.
E aí? Foi afetado por mais este bug? Compartilhe as suas experiências e continue acompanhando o Adrenaline!
Fonte: ARStechnica
