Новая уязвимость делает системы защиты бесполезными.
Новая уязвимость Windows, получившая название EventLogCrasher, позволяет злоумышленнику удаленно вывести из строя службу журнала событий на устройствах в одном домене Windows. Для этого атакующему достаточно иметь сетевое подключение к целевому устройству и любые действительные учетные данные (даже с низкими привилегиями).
Уязвимость затрагивает все версии Windows, от Windows 7 до последней Windows 11 и от Server 2008 R2 до Server 2022. Открытие недостатка приписывают исследователю безопасности, известному как Florian, который сообщил о ней в Центр реагирования на угрозы безопасности Microsoft (Microsoft Security Response Center, MSRC). Флориан также опубликовал доказательство концепции атаки (Proof-of-Concept, PoC). Компания Microsoft отметила, что данная проблема не соответствует требованиям для устранения и является дубликатом уязвимости, обнаруженной в 2022 году, не предоставив больше подробностей.
Похожая уязвимость под названием LogCrusher, раскрытая компанией Varonis в 2022 году, также пока не исправлена и позволяет любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows;.
Как объясняет Florian, сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет неверный объект UNICODE_STRING в метод ElfrRegisterEventSourceW , доступный через протокол удаленного взаимодействия EventLog на основе RPC (Remote Procedure Call).
Последствия сбоя службы журнала событий серьезны, так как это прямо влияет на системы управления информационной безопасностью и событиями безопасности (Security Information and Event Management, SIEM) и системы обнаружения вторжений (Intrusion Detection System, IDS), которые не могут получать новые события для активации тревоги.
К счастью, события безопасности и системы ставятся в очередь в памяти и будут добавлены в журналы событий после того, как служба журнала снова станет доступна. Однако такие события в очереди могут быть не восстановимы, если очередь заполнится или атакованная система выключится.
Служба микропатчей 0patch отметила, что атакующий с низкими привилегиями может выключить службу журнала событий как на локальной машине, так и на любом другом компьютере Windows в сети, в котором он может аутентифицироваться. В домене Windows это означает все компьютеры домена, включая контроллеры домена. Во время простоя службы любые механизмы обнаружения, использующие журналы Windows, будут слепы, позволяя атакующему провести дальнейшие атаки, такие как подбор паролей и эксплуатацию удаленных служб.
0patch выпустила неофициальные исправления для большинства затронутых версий Windows, доступные бесплатно до тех пор, пока Microsoft не выпустит официальные обновления безопасности для устранения уязвимости:
Чтобы установить необходимые исправления на вашу систему Windows, создайте учетную запись 0patch и установите агент 0patch на устройство. После запуска агента микропатч будет применен автоматически.
Ладно, не доказали. Но мы работаем над этим