27/10/22
Исследователи кибербезопасности из компании Varonis раскрыли подробности об уязвимостях в Windows, одна из которых может привести к отказу в обслуживании (Denial of Service, DoS).
Эксплойты, названные экспертами LogCrusher и OverLog, нацелены на протокол удаленного взаимодействия EventLog (MS-EVEN), который обеспечивает удаленный доступ к журналам событий.
- LogCrusher позволяет «любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows»;
- OverLog вызывает отказ в обслуживании, заполняя пространство на жестком диске любого компьютера с Windows на домене.
Недостатку OverLog был присвоен CVE-идентификатор CVE-2022-37981 (оценка CVSS: 4,3), и Microsoft исправила его в рамках октябрьского вторника исправлений. А LogCrusher, в свою очередь, остается нерешенным, предостерегает Securitylab.
По словам Microsoft, из-за эксплуатации этих уязвимостей производительность может быть прервана или снижена, но злоумышленник не может полностью добиться состояния «отказа в обслуживании».
Согласно Varonis, проблемы связаны с тем, что киберпреступник может получить дескриптор устаревшего журнала Internet Explorer, чтобы вызвать сбой журнала событий на компьютере-жертве и состояние «отказа в обслуживании».
Это достигается путем использования функции «BackupEventLogW» для многократного резервного копирования произвольных журналов в доступную для записи папку на целевом хосте, пока жесткий диск не будет заполнен.
С тех пор Microsoft исправила недостаток OverLog, ограничив доступ к журналу событий Internet Explorer локальными администраторами, тем самым уменьшив вероятность неправомерного использования.
«Хотя исправление относится к этому конкретному набору эксплойтов журнала событий Internet Explorer, другие пользователи могут аналогичным способом использовать доступные им журналы событий приложений для атак.
