Windows Defender 패치가 디스크 고갈 위험

원제: Patch for Windows Defender 0-day could allow attackers to fill hard disk

왜 중요한가

Defender 패치 자체가 새로운 서비스 거부(디스크 고갈) 공격 벡터를 만들어, 보안 업데이트 품질과 공급망 신뢰성에 대한 재검토가 필요함을 보여준다.

Microsoft가 2026년 7월 9일 Windows Defender의 제로데이 취약점(CVE-2026-50656, 「RoguePlanet」)을 패치했으나, 패치 내 심층 방어 업데이트가 공격자에게 하드디스크 전체 용량을 소진시키는 파일 쓰기를 허용할 수 있다고 발견자 NightmareEclipse가 다음 날 경고했다.

CVE-2026-50656(코드명「RoguePlanet」)은 2026년 6월에 익명 연구자 NightmareEclipse가 익스플로잇 코드와 함께 공개한 취약점이다. 이 취약점은 실시간 보호가 비활성화된 상태에서도 원격 공격자가 Windows 10 및 Windows 11 기기의 관리자 권한을 탈취할 수 있다. Microsoft는 7월 9일 Microsoft Malware Protection Engine 업데이트를 통해 패치를 배포했으며, 사용자 개입 없이 자동 설치된다.

그러나 NightmareEclipse는 7월 10일 게시글에서, 패치에 포함된 심층 방어 추가 조치가 새로운 문제를 야기한다고 지적했다. 구체적으로 mpengine.dll에서 파일 열기 시 8바이트 데이터 누수가 발생하고, 클라우드 보고 서비스 SpyNet의 신규 기능이 Zone.Identifier ADS(대체 데이터 스트림) 파일을 파일 크기 제한 없이 로컬에 캐시하는 동작을 유발한다고 설명했다. 통상 Defender는 격리 파일 쓰기 시 크기 상한을 두지만, spynet 관련 함수는 이 제한에서 예외로 처리된다. 연구자는 이 동작이 SMB(Server Message Block) 프로토콜을 통해 악용될 수 있다고 밝혔다. NightmareEclipse는 최근 수개월간 Microsoft를 긴급 패치 대응으로 몰아넣은 여러 제로데이를 연이어 공개한 바 있다.

출처

arstechnica.com — 원문 읽기 →