News

Defender, la patch per lo zero-day crea un nuovo problema

Daniele Messi · 10 Luglio 2026 · 5 min di lettura
Defender, la patch per lo zero-day crea un nuovo problema
Immagine: Ars Technica

Microsoft ha distribuito mercoledì un aggiornamento destinato a correggere una vulnerabilità critica nel motore di sicurezza di Windows Defender, ma secondo il ricercatore che ha scoperto il difetto, la soluzione stessa potrebbe causare un danno collaterale inatteso: il riempimento completo dello spazio su disco dei sistemi colpiti.

Defender, la patch per lo zero-day crea un nuovo problema
Crediti immagine: Ars Technica

La questione riguarda RoguePlanet, identificata con il codice CVE-2026-50656. La falla era rimasta nascosta fino a giugno, quando un ricercatore che opera con lo pseudonimo NightmareEclipse l’ha resa pubblica insieme al codice di exploit. Si tratta di un difetto che consente ad attaccanti remoti di ottenere il controllo amministrativo su macchine Windows 10 e Windows 11, persino quando la protezione in tempo reale risulta disabilitata. Nel corso degli ultimi mesi, questo stesso ricercatore ha portato alla luce diversi altri zero-day che hanno costretto Redmond a sviluppare correzioni d’emergenza.

Il paradosso della patch: proteggere scrivendo all’infinito

L’aggiornamento rilasciato mercoledì interviene sul Microsoft Malware Protection Engine, il componente che alimenta l’applicazione antivirus Defender. Microsoft ha confermato che la correzione verrà scaricata e installata automaticamente su tutti i sistemi, senza richiedere alcun intervento manuale da parte degli utenti. Lo stesso bollettino di sicurezza include quella che l’azienda definisce come “aggiornamenti di difesa in profondità per migliorare le funzionalità legate alla sicurezza”.

Ma qui emerge il problema centrale: secondo quanto riferito dal ricercatore scopritore, la patch introduce un comportamento anomalo nel motore di protezione. Anziché contenere la scrittura di file entro limiti ragionevoli, il sistema corretto potrebbe generare file di dimensioni illimitate durante il suo funzionamento. In scenari estremi, questo significa che una macchina potrebbe ritrovarsi con l’intero spazio di archiviazione saturo, rendendo il sistema praticamente inutilizzabile.

Non è la prima volta che una correzione di sicurezza produce effetti indesiderati. La storia dell’informatica è costellata di casi in cui il rimedio si è rivelato quasi altrettanto problematico del male originario. In questo caso specifico, gli utenti finali si troverebbero di fronte a un dilemma: mantenere attiva una vulnerabilità critica che espone il sistema al controllo remoto, oppure installare una patch che potrebbe paralizzare il dispositivo attraverso il consumo incontrollato di spazio disco.

Microsoft aveva già dimostrato negli ultimi anni una certa difficoltà nel gestire correzioni complesse al suo motore di protezione. Il fatto che uno stesso ricercatore riesca a scoprire e divulgare molteplici zero-day in rapida successione suggerisce che la superficie di attacco nel codice di Defender rimane ancora piuttosto ampia, nonostante gli sforzi di revisione e miglioramento.

Implicazioni per utenti e infrastrutture aziendali

Per gli utenti domestici, la situazione è complicata ma potenzialmente gestibile. La maggior parte dei computer moderni dispone di storage sufficiente da assorbire scritte eccessive per un periodo di tempo prima di raggiungere la saturazione completa. Inoltre, il comportamento anomalo potrebbe manifestarsi solo in condizioni specifiche, non necessariamente in ogni operazione quotidiana.

Per le organizzazioni aziendali, tuttavia, il quadro è ben più critico. Le infrastrutture managed con Defender distribuito su centinaia o migliaia di endpoint potrebbero trovarsi improvvisamente a fronteggiare cascate di guasti simultanei. Un’azienda che applica automaticamente l’aggiornamento su tutta la flotta potrebbe scoprirsi, nel giro di poche ore, con server e workstation in condizioni di disco pieno, con tutte le conseguenze sul funzionamento dei servizi e sulla disponibilità dei dati.

La comunicazione di Microsoft su questo problema rimane al momento contenuta. Il bollettino ufficiale menziona l’aggiornamento come standard, senza esplicitare il rischio di comportamento anomalo nella scrittura di file. Per gli amministratori di sistema, questo significa che la decisione se procedere immediatamente con il deployment o attendere ulteriori chiarimenti diventa una scelta strategica non banale.

Nei prossimi mesi, sarà interessante osservare come Microsoft gestirà questo conflitto tra sicurezza immediata e stabilità del sistema. Se il problema dovesse manifestarsi su larga scala, potremmo attenderci una controrisposta nell’arco di due o tre settimane; diversamente, potrebbe richiedere cicli di patch più lunghi per una soluzione definitiva che non introduca nuove instabilità.

Per approfondimenti sulla vulnerabilità zero-day in Windows, consultate le guide ufficiali di Microsoft sulla sicurezza. Informazioni tecniche sulla gestione di Defender sono disponibili anche su Microsoft Learn.

Via: Ars Technica