
El parche de Microsoft para una vulnerabilidad de día cero de Windows Defender podría haber introducido un nuevo problema: en algunos sistemas, la actualización puede escribir archivos lo suficientemente grandes como para consumir por completo el espacio disponible en disco.
El parche, lanzado el miércoles 8 de julio, aborda la vulnerabilidad RoguePlanet, una exploit de escalada de privilegios local que otorga a los atacantes acceso de nivel SYSTEM en máquinas Windows 10 y Windows 11 completamente parcheadas. RoguePlanet fue divulgada públicamente por un investigador que opera bajo el alias Nightmare Eclipse (también conocido como Chaotic Eclipse) y apunta a una condición de carrera TOCTOU (Time-of-Check to Time-of-Use) en el motor de escaneo en tiempo real de Defender.
Cuando se explota con éxito, RoguePlanet genera un símbolo del sistema de Windows que se ejecuta como NT AUTHORITYSYSTEM, el nivel de privilegio más alto en una máquina Windows, lo que permite a un atacante ejecutar código, instalar software y acceder o eliminar cualquier dato en el sistema.
El efecto secundario
Según Ars Technica, el parche que Microsoft lanzó para corregir RoguePlanet podría hacer que Defender genere archivos grandes que crecen hasta llenar el espacio disponible en disco en las máquinas afectadas. Las condiciones exactas que desencadenan este comportamiento aún no se comprenden completamente, pero el problema se ha reportado en múltiples configuraciones de Windows.
Esta complicación es el capítulo más reciente de una confrontación creciente entre Microsoft y el investigador detrás de las divulgaciones. Nightmare Eclipse ha lanzado al menos siete exploits relacionados con Defender desde abril de 2026, incluidos BlueHammer (CVE-2026-33825, parcheado en abril), RedSun, UnDefend (una herramienta que puede deshabilitar Defender por completo), YellowKey, GreenPlasma y MiniPlasma.
Microsoft advirtió anteriormente que trabajaría con las fuerzas del orden contra los actores que causan daños, lo que el investigador citó como la razón para trasladar los exploits de las plataformas convencionales a un repositorio Git autoalojado. Tres de los exploits anteriores fueron confirmados como explotados en entornos reales antes de que Microsoft pudiera emitir parches.
Investigadores de Huntress han documentado intrusiones reales utilizando herramientas anteriores de esta campaña del investigador, con BlueHammer, RedSun y UnDefend observados en cadenas de ataque activas.
Para los usuarios, la recomendación sigue siendo la misma: instalar la actualización para cerrar la vulnerabilidad RoguePlanet, pero monitorear de cerca el espacio en disco en los días posteriores a la instalación. Microsoft aún no ha comentado si está en desarrollo una corrección para el efecto secundario del parche.
Fuentes: Patch for Windows Defender 0-day could allow attackers to fill hard disk (Ars Technica, 9 de julio de 2026); RoguePlanet: Microsoft Defender zero-day (CybelAngel); Windows Defender 0-Day Exploit RoguePlanet (Cyber Security News)
Traducido por Alessandra

