Отдалечените нападатели биха могли да експлоатират две уязвимости в регистъра на събитията на Windows, за да сринат приложението Event Log и да причинят състояние на отказ от услуга (DoS), предупреждава Варонис.
Event Log е специфично за Internet Explorer приложение, намиращо се във всички итерации на Windows, поради дълбоката интеграция на браузъра с операционната система.
Поради специфичния набор от разрешения, които регистърът на събитията има, два пропуска в сигурността Той преследва всички версии на Windows до Windows 10, дори когато Microsoft прекратява поддръжката за Internet Explorer през юни 2022 г.
Наречен LogCrusher, първите експлойти могат да позволят на потребител на домейн да деактивира регистъра на събитията на всяка машина с Windows в домейна, дистанционно.
Втората уязвимост, наречена OverLog, се проследява като CVE-2022-37981позволява на отдалечен нападател да запълни твърдия диск на машина с Windows с данни от регистъра, причинявайки състояние на отказ на услуга (DoS).
И двата експлойта злоупотребяват с протокола Microsoft Remote Event Log (MS-EVEN), който разкрива методите за извикване на отдалечена процедура (RPC) за отдалечен достъп. По-конкретно, те злоупотребяват с OpenEventLog, функция, която позволява на опитни потребители да четат, записват и изчистват регистрационните файлове на събития на отдалечени машини.
“По подразбиране потребители с ниски привилегии и не-администратори не могат да се справят с регистрационните файлове на събития на други устройства. Единственото изключение от това е наследеният журнал на “Internet Explorer” – който е във всяка версия на Windows и има собствена защита дескриптор, който замества разрешенията по подразбиране“, обяснява Варонес.
Първият проблем е грешка при валидиране на неправилен запис в ElfClearELFW, функция, която позволява на отдалечените администратори да сканират и архивират регистрационни файлове за събития, което води до срив на процеса на регистър на събития, когато параметърът на архивния файл е празен.
Нападателят може да извика функцията OpenEventLog на регистъра на събитията на Internet Explorer и след това да извика уязвимата функция с параметър NULL, което води до срив на приложението Event Log на машината на жертвата.
По подразбиране услугата за регистър на събития се опитва да се рестартира още два пъти, след което се изключва за 24 часа, засягайки всички услуги за сигурност, които зависят от нея и потенциално позволява на нападателите да използват известни уязвимости, тъй като много сигнали няма да се задействат, Varones бележки.
“Продуктите за контрол на сигурността в някои случаи се свързват сами към сервиз! Това означава, че когато се повреди завинаги, продуктът също ще се повреди и ще изгори до него”, обяснява Варонес.
Varones казва, че вторият експлойт е насочен към пропуск във функцията BackupEventLogW и може да доведе до постоянно DoS състояние на всяка машина с Windows.
Уязвимостта може да бъде използвана от всеки потребител, който има достъп за запис до отдалечена машина – което означава, че може да архивира файлове в тази система.
За да използва уязвимостта, нападател с манипулатор в регистъра на събитията в Internet Explorer на машината на жертвата може да запише произволни регистрационни файлове в услугата за регистър на събития и след това да архивира регистрационния файл в записваема папка на тази машина, докато твърдият диск се напълни и машината вече не може да записва „файл за пейджинг“, причинявайки DoS.
Microsoft пусна корекции за тези проблеми в Корекция за октомври 2022 г., вторниккато промените настройките за разрешение по подразбиране, за да ограничите достъпа до регистъра на събитията на Internet Explorer на отдалечени машини само до локални администратори.
„Въпреки че това се отнася за този конкретен набор от подвизи на Internet Explorer Event Log, все още има потенциал други достъпни за потребителя журнали на събития на приложения да бъдат използвани, за да се възползват от подобни атаки“, казва Варонес.
Свързани: Microsoft прави Windows Autopatch публично достъпен
Свързани: Пачът за актуализации на Windows ефективно използва уязвимостта „Follina“.
Йонут Аргиер е международен кореспондент на SecurityWeek.
Тагове: