ニュース

Windows Defenderにディスクを食い潰す穴が発見される

 Microsoftと対立を見せるセキュリティ研究者のNightmare-Eclipse氏は7月9日(米国時間)、6月にリリースされた「Windows Defender」用のセキュリティパッチを解析し、同機能に存在する仕様上の穴を突くことで、システムのディスク領域を食い潰せるバグを発見したと報告した。

 同氏は6月にWindows Defenderのゼロデイ脆弱性「RoguePlanet」(CVE-2026-50656)を発見して公表しており、Microsoftはこれに対応するパッチをリリースした。しかし、このパッチに特定のファイルオープン時に8Byteのデータをリークする別の不具合(mpengine.dll内)が確認され、同氏がパッチ適用後のファイルを調査・解析する中で、Windows Defenderが元々持っていたファイル処理の仕様の穴が、新たに浮き彫りになったという。

 通常、Windows Defenderは巨大ファイルをスキャンして検疫する際に、システムのディスク領域を枯渇させないよう、ファイルサイズに対して厳しいハードリミットを設けている。しかし、同機能内のspynet関数が:Zone.Identifierと呼ばれる代替データストリーム(ADS)ファイルを処理する際にはこの制限が適用されず、ファイルサイズがどれだけ巨大であっても強制的にローカルへキャッシュしようとする仕組みになっていたという。

細工されたSMBサーバーによる攻撃

 この仕組みを悪用するためのアイデアとしては、Windows Defenderからのリクエストを処理するよう調整されたカスタムのSMBサーバーと、悪意のあるファイル、およびそれに紐づく超巨大なADSファイルを用意する必要がある。サーバー側が読み取りリクエストに応答する過程で意図的に応答を停止し、接続だけを維持させると、Windows Defenderは問題のファイルをロックしたままハングアップし、ディスク領域全体を消費し続ける状態に陥る。

 この状態に陥ってもOSがすぐにクラッシュするわけではないが、ディスクが満杯になるまでWindows Defenderが書き込みを続けるため、Windowsが正常動作しなくなり、複数のアプリやサービスがランダムにクラッシュするようになる。

 この現象はWindows 11 25H2とWindows Server 2025で再現済み。認証回避のためにWebDAV経由での攻撃も模索しているが、現状はエラーとなり検証中とのことだ。

 同氏は今回、直ちに攻撃が可能なPoC(概念実証コード)やエクスプロイトを公開していない。また、細工が施されたSMBサーバーを用意する必要があるため、リモートで悪用する方法が思い浮かばなかったとしている。ただし、もしリモートから強制的にDefenderへファイルスキャンをさせる手法が見つかれば、サーバーに対する強力な攻撃手段になると警告している。