Falha no Windows Defender pode encher o SSD e travar o PC; Microsoft já liberou correção
10 Jul, 2026
Um patch de segurança lançado pela Microsoft na quarta-feira (8) para corrigir uma falha grave no Windows pode causar um efeito colateral absurdo : máquinas que receberam a atualização passaram a gravar arquivos descontroladamente até consumir todo o espaço disponível no disco rígido. O alerta partiu do pesquisador que usa o apelido NightmareEclipse, o mesmo que havia descoberto a vulnerabilidade original. A mencionada “ falha original “, chamada RoguePlanet e catalogada como CVE-2026-50656 , veio a público em junho. Ela permite que invasores assumam o controle total de PCs com Windows 10 e Windows 11 , mesmo quando o antivírus do sistema operacional está com a proteção em tempo real desligada . O pesquisador já havia divulgado outras falhas zero-day nos últimos meses, forçando a Microsoft a correr para (tentar) corrigir a bagunça. Unsplash O que mudou com o patch Em julho, a correção veio por meio de uma atualização automática do Microsoft Malware Protection Engine , componente central do antivírus da companhia. Usuários não precisaram fazer nada: o sistema baixou e instalou o pacote sozinho. A empresa também incluiu no pacote atualizações pensadas para reforçar recursos de proteção. Hoje (9), NightmareEclipse publicou uma análise mostrando que essas novas camadas de defesa geraram um problema inesperado. A biblioteca mpengine.dll , um driver ligado ao mecanismo de proteção, passou a v azar 8 bytes de informação toda vez que tenta abrir um arquivo. Uma função do SpyNet , serviço em nuvem que envia relatórios sobre programas suspeitos para a Microsoft, também está envolvida nesse comportamento de gravação sem controle. O limite que o Defender costuma respeitar Normalmente, o Defender impõe um limite ao tamanho dos arquivos que grava no disco durante varreduras e quarentenas. A lógica é simples: se o antivírus colocasse um arquivo gigantesco em quarentena, o disco lotaria. Contudo, o bom e velho NightmareEclipse descobriu uma brecha nessa regra. As funções do SpyNet na mpengine.dll tentam manter uma cópia local de algo chamado arquivo ADS Zone.Identifier e, por sua vez, o Windows Defender armazena essa cópia em cache sem se importar com o tamanho. O Zone.Identifier é um arquivo oculto de metadados, conhecido tecnicamente como fluxo de dados alternativo (Alternative Data Stream, ou ADS). O Windows cria esse arquivo automaticamente para marcar itens baixados da internet ou recebidos por e-mail, registrando sua origem e a zona de segurança atribuída a eles. Como um invasor pode disparar o problema Um hacker consegue explorar essa brecha usando o protocolo SMB (Server Message Block), o mesmo recurso que permite compartilhar pastas e arquivos em redes locais Windows. A instalação exige um servidor SMB preparado sob medida para responder às requisições do Defender. O servidor entrega um arquivo malicioso (o pesquisador cita o executável mimikatz como exemplo) e, na sequência, um arquivo ADS enorme, do tipo mimikatz.exe:Zone.Identifier. Durante a troca de informações , o servidor para de responder, mas mantém a conexão ativa. O Defender trava e segura os arquivos ofensivos, que vão ocupando o SSD até esgotá-lo completamente. A máquina não desliga de imediato , mas o Windows para de funcionar direito: aplicativos e serviços começam a travar aleatoriamente porque não há mais espaço livre. Leia mais Atualização do Windows 11 corrige travamento do Explorer.exe Bug no Windows 11 está bloqueando atualizações desde fevereiro Microsoft prepara correção para bug que faz Windows 11 instalar drivers gráficos desatualizados O embate entre o pesquisador e a Microsoft Para piorar, o pesquisador NightmareEclipse e a Microsoft estão em conflito desde maio . Na ocasião, o pesquisador afirmou que a empresa corrigiu discretamente uma vulnerabilidade que ele havia reportado de forma privada. Depois disso, ele passou a publicar detalhes e caminhos de exploração de várias falhas antes que os patches ficassem prontos. A Microsoft criticou abertamente a conduta, acusando o pesquisador de não fazer divulgações responsáveis, e insinuou a possibilidade de medidas judiciais. Diante da repercussão negativa , a empresa voltou atrás e declarou que não entraria com ações legais. De toda forma, a análise publicada recentemente sobre o caso destacado nesta matéria sugere que a briga ainda pode continuar. A Microsoft não respondeu de imediato à mídia internacional quando questionada se confirmava o comportamento descrito pelo pesquisador. E aí? Foi afetado por mais este bug? Compartilhe as suas experiências e continue acompanhando o Adrenaline ! Fonte: ARStechnica Conteúdo Relacionado Conserta um, quebra três Atualização do Windows 11 cria novo bug na Lixeira e Microsoft corre para corrigir