Исследователи рассказали о новых уязвимостях журнала событий Windows

Исследователи кибербезопасности из компании Varonis раскрыли подробности об уязвимостях в Windows, одна из которых может привести к отказу в обслуживании (Denial of Service, DoS).

Эксплойты, названные экспертами LogCrusher и OverLog, нацелены на протокол удаленного взаимодействия EventLog ( MS-EVEN ), который обеспечивает удаленный доступ к журналам событий.

• LogCrusher позволяет «любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows»;
• OverLog вызывает отказ в обслуживании, заполняя пространство на жестком диске любого компьютера с Windows на домене.

Недостатку OverLog был присвоен CVE-идентификатор CVE-2022-37981 (оценка CVSS: 4,3), и Microsoft исправила его в рамках октябрьского вторника исправлений . А LogCrusher, в свою очередь, остается нерешенным.

По словам Microsoft, из-за эксплуатации этих уязвимостей производительность может быть прервана или снижена, но злоумышленник не может полностью добиться состояния «отказа в обслуживании».

Согласно Varonis, проблемы связаны с тем, что киберпреступник может получить дескриптор устаревшего журнала Internet Explorer, чтобы вызвать сбой журнала событий на компьютере-жертве и состояние «отказа в обслуживании».

Это достигается путем использования функции «BackupEventLogW» для многократного резервного копирования произвольных журналов в доступную для записи папку на целевом хосте, пока жесткий диск не будет заполнен.

С тех пор Microsoft исправила недостаток OverLog, ограничив доступ к журналу событий Internet Explorer локальными администраторами, тем самым уменьшив вероятность неправомерного использования.

«Хотя исправление относится к этому конкретному набору эксплойтов журнала событий Internet Explorer, другие пользователи могут аналогичным способом использовать доступные им журналы событий приложений для атак.