Исследователи рассказали о новых уязвимостях журнала событий Windows

LogCrusher OverLog DoS Internet Explorer Windows Microsoft
Устаревшие журналы событий Internet Explorer приводят к состоянию «отказ в обслуживании».

Исследователи рассказали о новых уязвимостях журнала событий Windows

Исследователи кибербезопасности из компании Varonis
раскрыли подробности
об уязвимостях в Windows, одна из которых может привести к отказу в обслуживании (Denial of Service, Атака типа «отказ в обслуживании» (Denial of Service, DoS) — это атака, направленная на отключение машины или сети, делая их недоступными для пользователей. При DoS-атаках цель заливается трафиком или получает информацию, которая вызывает сбой в работе. В обоих случаях DoS-атака лишает легитимных пользователей (т.е. сотрудников, участников или владельцев учетных записей) услуги или ресурса, на которые они рассчитывали.»
data-html=»true» data-original-title=»DoS»
>DoS
).
Эксплойты, названные экспертами LogCrusher и OverLog, нацелены на протокол удаленного взаимодействия EventLog ( MS-EVEN ), который обеспечивает удаленный доступ к журналам событий.
LogCrusher позволяет «любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows»;
OverLog вызывает отказ в обслуживании, заполняя пространство на жестком диске любого компьютера с Windows на домене.
Недостатку OverLog был присвоен CVE-идентификатор
CVE-2022-37981
(оценка CVSS: 4,3), и Microsoft исправила его в рамках
октябрьского вторника исправлений . А LogCrusher, в свою очередь, остается нерешенным.
По словам Microsoft, из-за эксплуатации этих уязвимостей производительность может быть прервана или снижена, но злоумышленник не может полностью добиться состояния «отказа в обслуживании».
Согласно Varonis, проблемы связаны с тем, что киберпреступник может получить дескриптор устаревшего журнала Internet Explorer, чтобы вызвать сбой журнала событий на компьютере-жертве и состояние «отказа в обслуживании».
Это достигается путем использования функции «BackupEventLogW» для многократного резервного копирования произвольных журналов в доступную для записи папку на целевом хосте, пока жесткий диск не будет заполнен.
С тех пор Microsoft исправила недостаток OverLog, ограничив доступ к журналу событий Internet Explorer локальными администраторами, тем самым уменьшив вероятность неправомерного использования.
«Хотя исправление относится к этому конкретному набору эксплойтов журнала событий Internet Explorer, другие пользователи могут аналогичным способом использовать доступные им журналы событий приложений для атак.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *