Исследователи рассказали о новых уязвимостях журнала событий Windows

Ср 26 Октябрь 2022 13:24

Исследователи кибербезопасности из компании Varonis раскрыли подробности об уязвимостях в Windows, одна из которых может привести к отказу в обслуживании (Denial of Service, DoS).

Эксплойты, названные экспертами LogCrusher и OverLog, нацелены на протокол удаленного взаимодействия EventLog ( MS-EVEN ), который обеспечивает удаленный доступ к журналам событий.

Недостатку OverLog был присвоен CVE-идентификатор CVE-2022-37981 (оценка CVSS: 4,3), и Microsoft исправила его в рамках октябрьского вторника исправлений . А LogCrusher, в свою очередь, остается нерешенным.

По словам Microsoft, из-за эксплуатации этих уязвимостей производительность может быть прервана или снижена, но злоумышленник не может полностью добиться состояния «отказа в обслуживании».

Согласно Varonis, проблемы связаны с тем, что киберпреступник может получить дескриптор устаревшего журнала Internet Explorer, чтобы вызвать сбой журнала событий на компьютере-жертве и состояние «отказа в обслуживании».

Это достигается путем использования функции «BackupEventLogW» для многократного резервного копирования произвольных журналов в доступную для записи папку на целевом хосте, пока жесткий диск не будет заполнен.

С тех пор Microsoft исправила недостаток OverLog, ограничив доступ к журналу событий Internet Explorer локальными администраторами, тем самым уменьшив вероятность неправомерного использования.

«Хотя исправление относится к этому конкретному набору эксплойтов журнала событий Internet Explorer, другие пользователи могут аналогичным способом использовать доступные им журналы событий приложений для атак.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 13 часов 13 минут 10 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.