Доступны неофициальные патчи для новой уязвимости нулевого дня в Windows под названием EventLogCrasher, позволяющей злоумышленникам удаленно нарушить работу службы Event Log на устройствах в пределах одного домена Windows.
Эта 0-day уязвимость затрагивает все версии Windows, начиная с Windows 7 и заканчивая последней Windows 11, а также от Server 2008 R2 до Server 2022.
Об обнаружении EventLogCrasher сообщил команде Microsoft Security Response Center исследователь, известный под ником Florian, который уже опубликовал PoC-эксплоит для нее в конце января. Однако в Microsoft ответили специалисту, что эта уязвимость не соответствует требованиям и является дубликатом ошибки 2022 года.
Хотя сама Microsoft не предоставила более подробной информации об этой уязвимости 2022 года, специалисты компании Varonis описывали аналогичный дефект под названием LogCrusher (также ожидающий патча), который может быть использован любым пользователем домена для удаленного вывода из строя Event Log на машинах Windows во всем домене.
Для использования этой проблемы в стандартных конфигурациях Windows Firewall злоумышленникам необходимо сетевое подключение к целевому устройству и любые действительные учетные данные (даже с низкими привилегиями).
В итоге атакующие могут отключить Event Log локально, на всех компьютерах с Windows в одном домене, включая контроллеры домена, после чего их вредоносная активность больше не будет записываться в журнал событий Windows.
Как объясняют эксперты: «сбой происходит в функции wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет вредоносный объект UNICODE_STRING в метод ElfrRegisterEventSourceW, открытый для EventLog Remoting Protocol на базе RPC».
Кроме того, после сбоя Event Log пострадают системы SIEM и IDS, поскольку они больше не смогут получать информацию о новых событиях для создания оповещений безопасности. Оповещения и системные события сохраняются в памяти и будут добавлены в журнал событий после того, как служба Event Log снова станет доступной. Однако их восстановление может оказаться невозможным, если очередь переполнится, атакованная система отключится от сети или завершит работу из-за BSOD.
Как сообщает теперь соучредитель 0patch Митя Колсек (Mitja Kolsek), на данный момент удалось выяснить, что атакующий с низкими привилегиями может нарушить работу службы Event Log как на локальной машине, так и на любом другом Windows-компьютере в сети, на котором он сможет пройти аутентификацию. «В домене Windows это означает все компьютеры домена, включая контроллеры домена», — говорит Колсек.
«Во время простоя Event Log любые механизмы обнаружения, просматривающие журналы Windows, будут работать “вслепую”, что позволит злоумышленнику незаметно воспользоваться этим временем для проведения дальнейших атак — перебора паролей, эксплуатации удаленных служб с помощью ненадежных эксплоитов, которые часто приводят к сбоям, или запуска любимой всеми злоумышленниками whoami», — считают в 0patch.
В итоге специалисты 0patch подготовили неофициальные исправления для этого бага, охватывающие почти все затронутые версии Windows:
- Windows 11 v22H2, v23H2 (полностью обновленная);
- Windows 11 v21H2 (полностью обновленная);
- Windows 10 v22H2 (полностью обновленная);
- Windows 10 v21H2 (полностью обновленная);
- Windows 10 v21H1 (полностью обновленная);
- Windows 10 v20H2 (полностью обновленная);
- Windows 10 v2004 (полностью обновленная);
- Windows 10 v1909 (полностью обновленная);
- Windows 10 v1809 (полностью обновленная);
- Windows 10 v1803 (полностью обновленная);
- Windows 7 (без ESU, ESU1, ESU2, ESU3);
- Windows Server 2022 (полностью обновленная);
- Windows Server 2019 (полностью обновленная);
- Windows Server 2016 (полностью обновленная);
- Windows Server 2012 (без ESU, ESU1);
- Windows Server 2012 R2 (без ESU, ESU1);
- Windows Server 2008 R2 (без ESU, ESU1, ESU2, ESU3, ESU4).
Микропатчи 0patch можно использовать бесплатно до тех пор, пока Microsoft не выпустит официальные исправления.
