El parche de Windows Defender que arregla un bug abriendo otro

Microsoft tapó un 0-day crítico en Defender, pero el propio parche puede llenar el disco entero.

Por Equipo Semilla
El parche de Windows Defender que arregla un bug abriendo otro
Foto: Unsplash
Ciberseguridad

Un investigador que se hace llamar NightmareEclipse pasa meses peleando en público con Microsoft por un agujero de seguridad en Windows Defender. Microsoft finalmente lo tapa el miércoles 9 de julio. Y ese mismo día, el investigador publica que el parche trae su propio problema: puede llenar el disco rígido entero de la víctima.

Qué es RoguePlanet

La falla original, catalogada como CVE-2026-50656 y bautizada RoguePlanet, vive en el Malware Protection Engine (mpengine.dll), el motor que corre por debajo de Windows Defender en Windows 10 y 11. Explotada, permite a un atacante remoto conseguir acceso administrativo en la máquina — incluso con la protección en tiempo real desactivada. NightmareEclipse la había divulgado públicamente en junio, con código de prueba de concepto incluido, después de un ida y vuelta con Microsoft que arranca en mayo.

El arreglo que trae su propio bug

El parche del 9 de julio se instala solo, sin que el usuario haga nada, y según la nota oficial de Microsoft suma "actualizaciones de defensa en profundidad para mejorar funciones relacionadas con seguridad". El problema, según el mismo investigador que destapó todo esto, es que esas nuevas mitigaciones abren una segunda puerta: el motor puede escribir datos sin límite en una secuencia de datos alternativa (ADS) del tipo Zone.Identifier, la etiqueta que Windows usa para marcar archivos descargados de internet.

Para explotarlo, un atacante necesita levantar un servidor SMB malicioso que sirva un archivo trucho junto con un ADS gigante. Defender se cuelga procesando eso, bloquea archivos y termina consumiendo toda la capacidad del disco. No hace falta que el usuario abra nada raro — alcanza con que el equipo intente acceder a ese recurso compartido.

Qué mirar si tenés una PyME con Windows

Para una PyME argentina que administra sus propias PCs con Windows —sin un equipo de IT dedicado que siga estos hilos de Twitter técnico— la lección práctica es simple: las actualizaciones automáticas de seguridad son necesarias, pero no son magia infalible. Vale la pena tener un proceso mínimo de monitoreo de espacio en disco en los equipos críticos (servidores de archivos, PCs de facturación) y, si depende de un proveedor de IT externo, preguntarle explícitamente si está al tanto de este caso antes de asumir que "como actualiza solo, ya está resuelto". La seguridad informática cada vez exige menos clics del usuario y más criterio de quien administra la infraestructura.

Fuente original: Ars Technica — por Dan Goodin

Comentarios (0)

Inicia sesión para participar en la conversación

O también

Cargando la conversación...

¿Necesitas ayuda profesional?

Si tienes consultas específicas sobre tu proyecto o negocio, nuestro equipo está listo para asesorarte.

Windows Defender: el parche que arregla un 0-day y abre otro | Semilla