
마이크로소프트가 디펜더(Defender) 보안 엔진의 제로데이 취약점을 수정하기 위해 수요일 발표한 패치로 인해 윈도우 시스템이 사용 가능한 디스크 공간을 완전히 소모할 만큼 큰 파일을 작성할 수 있다고 이 결함을 발견한 연구원은 밝혔다.
CVE-2026-50656으로 추적되는 RoguePlanet은 지난 6월 한 연구원이 사용한 가명인 NightmareEclipse가 이를 악용하기 위한 코드와 함께 공개하면서 대중에 알려졌습니다. 이 취약점으로 인해 실시간 보호가 비활성화된 경우에도 원격 공격자가 Windows 10 및 Windows 11 시스템에 대한 관리 제어권을 얻을 수 있습니다. 지난 몇 달 동안 익명의 연구원은 Microsoft가 패치 개발을 위해 애쓰게 만든 몇 가지 다른 제로데이를 게시했습니다.
무제한 크기의 파일 쓰기
마이크로소프트는 수요일 디펜더(Defender) 바이러스 백신 앱에 사용되는 마이크로소프트 맬웨어 방지 엔진 업데이트로 RoguePlanet을 패치했다고 밝혔습니다. 사용자가 별도의 조치를 취하지 않아도 수정 사항이 자동으로 다운로드되어 설치됩니다. 수요일 업데이트에는 “보안 관련 기능을 개선하는 데 도움이 되는 심층 방어 업데이트”도 포함되어 있습니다.
NightmareEclipse는 목요일 게시물에서 심층 방어 기능이 추가되면 공격자가 하드 드라이브에 대량의 데이터를 기록하여 하드 드라이브의 사용 가능한 모든 공간을 소진할 수 있는 동작을 생성한다고 밝혔습니다. 새로 도입된 완화 조치는 Microsoft 맬웨어 방지 엔진과 관련된 드라이버인 mpengine.dll에 문제를 일으키며, 경우에 따라 파일을 열려고 할 때 8바이트의 데이터가 누출되는 문제가 발생합니다. Microsoft Security Essentials 또는 Forefront Endpoint Protection이 의심스러운 소프트웨어 및 프로그램에 대한 보고서를 Microsoft에 보낼 수 있도록 하는 클라우드 서비스인 SpyNet의 새로운 기능도 잠재적인 대량 파일 쓰기 동작에 영향을 미칩니다.
Defender는 일반적으로 컴퓨터를 검사하고 격리할 때 디스크에 쓸 수 있는 파일 크기에 대해 엄격한 제한을 둡니다.
연구원은 “대량 파일을 격리하면 Defender가 사용 가능한 디스크 공간을 완전히 소진하게 되므로 이 구현은 의미가 있습니다.”라고 썼습니다. “이 규칙에서 작은 예외를 발견했습니다. 분명히 mpengine.dll의 spynet 기능은 Zone.Identifier ADS 파일의 로컬 복사본을 유지하기를 원하며 이 파일의 크기는 중요하지 않습니다. 어쨌든 Windows Defender는 이를 로컬로 캐시합니다.”
이 주제에 대해 더 알고 싶다면 아래를 참고하세요