Το νέο ελάττωμα του αρχείου καταγραφής συμβάντων των Windows λαμβάνει ανεπίσημες ενημερώσεις κώδικα

Διατίθενται δωρεάν ανεπίσημες ενημερώσεις κώδικα για ένα νέο ελάττωμα

zero-day

των Windows μεταγλωττισμένο

EventLogCrasher

που επιτρέπει στους εισβολείς να διακόψουν εξ αποστάσεως την υπηρεσία Καταγραφής συμβάντων σε συσκευές εντός του ίδιου τομέα των Windows.

Αυτή η ευπάθεια zero-day επηρεάζει όλες τις εκδόσεις των Windows, από τα Windows 7 έως τα πιο πρόσφατα

Windows 11

και από τον Server 2008 R2 έως τον Server 2022.

Το EventLogCrasher ανακαλύφθηκε και αναφέρθηκε στην ομάδα του Κέντρου απόκρισης ασφαλείας της Microsoft από έναν ερευνητή ασφαλείας γνωστό ως

Φλοριάν

με τον Ρέντμοντ

επισήμανση ότι δεν πληροί τις απαιτήσεις σέρβις

και λέγοντας ότι είναι αντίγραφο του σφάλματος του 2022 (ο Florian δημοσίευσε επίσης α

εκμετάλλευση απόδειξης της ιδέας

Την προηγούμενη εβδομάδα).

Ενώ η Microsoft δεν έδωσε περισσότερες λεπτομέρειες σχετικά με την ευπάθεια του 2022, η εταιρεία λογισ

μι

κού Varonis αποκάλυψε ένα παρόμοιο ελάττωμα που ονομάστηκε

LogCrusher

(επίσης ακόμη περιμένει μια ενημερωμένη έκδοση κώδικα) την οποία μπορεί να εκμεταλλευτεί οποιοσδήποτε χρήστης τομέα για να διακοπεί εξ αποστάσεως η υπηρεσία Καταγραφής συμβάντων σε μηχανήματα Windows σε ολόκληρο τον τομέα.

Για να εκμεταλλευτούν το zero-day στις προεπιλεγμένες διαμορφώσεις του Τείχους προστασίας των Windows, οι εισβολείς χρειάζονται σύνδεση δικτύου στη συσκευή-στόχο και τυχόν έγκυρα διαπιστευτήρια (ακόμη και με χαμηλά προνόμια).

Επομένως, μπορούν πάντα να διακόψουν τη λειτουργία της υπηρεσίας καταγραφής συμβάντων τοπικά και σε όλους τους υπολογιστές Windows στον ίδιο τομέα Windows, συμπεριλαμβανομένων των ελεγκτών τομέα, κάτι που θα τους επιτρέψει να διασφαλίσουν ότι η κακόβουλη δραστηριότητά τους δεν θα καταγράφεται πλέον στο αρχείο καταγραφής συμβάντων των Windows.

Όπως εξηγεί ο Florian, «Η συντριβή συμβαίνει στο

wevtsvc!VerifyUnicodeString

όταν ένας εισβολέας στέλνει ένα κακόμορφο

UNICODE_STRING

αντίρρηση στο

ElfrRegisterEventSourceW

μέθοδος που εκτίθεται από το πρωτόκολλο απομακρυσμένου καταγραφής συμβάντων που βασίζεται σε RPC.”

Μόλις η υπηρεσία καταγραφής συμβάντων διακοπεί, οι Πληροφορίες ασφαλείας και η

Διαχείριση

συμβάντων (SIEM) και τα Συστήματα Ανίχνευσης Εισβολής (IDS) θα επηρεαστούν άμεσα, καθώς δεν μπορούν πλέον να απορροφούν νέα συμβάντα για την ενεργοποίηση ειδοποιήσεων ασφαλείας.

Ευτυχώς, τα συμβάντα ασφαλείας και συστήματος βρίσκονται σε ουρά στη μνήμη και θα προστεθούν στα αρχεία καταγραφής συμβάντων αφού γίνει ξανά διαθέσιμη η υπηρεσία Καταγραφής συμβάντων. Ωστόσο, τέτοια συμβάντα σε ουρά ενδέχεται να μην είναι ανακτήσιμα εάν η ουρά γεμίσει ή το σύστημα που δέχεται επίθεση τερματιστεί μέσω

απε

νεργοποίησης ή λόγω σφάλματος μπλε οθόνης.

“Μέχρι στιγμής έχουμε ανακαλύψει ότι ένας εισβολέας χαμηλών προνομίων μπορεί να διακόψει την υπηρεσία Καταγραφής συμβάντων τόσο στον τοπικό υπολογιστή όσο και σε οποιονδήποτε άλλο υπολογιστή Windows στο δίκτυο στον οποίο μπορούν να ελέγξουν την ταυτότητα. Σε έναν τομέα Windows, αυτό σημαίνει όλους τους υπολογιστές τομέα συμπεριλαμβανομένου του τομέα ελεγκτές»,

είπε

Ο συνιδρυτής του 0patch, Mitja Kolsek.

“Κατά τη διάρκεια του χρόνου διακοπής της υπηρεσίας, οποιοιδήποτε μηχανισμοί ανίχνευσης που απορροφούν αρχεία καταγραφής των Windows θα είναι τυφλοί, επιτρέποντας στον εισβολέα να αφιερώσει χρόνο για περαιτέρω επιθέσεις – brute-forcing κωδικού πρόσβασης, εκμετάλλευση απομακρυσμένων υπηρεσιών με αναξιόπιστες εκμεταλλεύσεις που συχνά τις καταστρέφουν ή εκτέλεση του αγαπημένου whoami κάθε εισβολέα – χωρίς γίνεται αντιληπτός».

Ανεπίσημα ενημερώσεις κώδικα ασφαλείας για συστήματα Windows που επηρεάζονται

ο

Υπηρεσία micropatching 0patch

κυκλοφόρησε ανεπίσημες ενημερώσεις κώδικα για τις πιο επηρεασμένες εκδόσεις των Windows την Τετάρτη, διαθέσιμες δωρεάν έως ότου η Microsoft κυκλοφορήσει επίσημες ενημερώσεις ασφαλείας για την αντιμετώπιση του σφάλματος zero-day:

1. 
   Windows 11 v22H2, v23H2 – πλήρως ενημερωμένο
   
2. 
   Windows 11 v21H2 – πλήρως ενημερωμένο
   
3. 
   Windows 10 v22H2 – πλήρως ενημερωμένο
   
4. 
   Windows 10 v21H2 – πλήρως ενημερωμένο
   
5. 
   Windows 10 v21H1 – πλήρως ενημερωμένο
   
6. 
   Windows 10 v20H2 – πλήρως ενημερωμένο
   
7. 
   Windows 10 v2004 – πλήρως ενημερωμένο
   
8. 
   Windows 10 v1909 – πλήρως ενημερωμένο
   
9. 
   Windows 10 v1809 – πλήρως ενημερωμένο
   
10. 
    Windows 10 v1803 – πλήρως ενημερωμένο
    
11. 
    Windows 7 – χωρίς ESU, ESU1, ESU2, ESU3
    
12. 
    Windows Server 2022 – πλήρως ενημερωμένο
    
13. 
    Windows Server 2019 – πλήρως ενημερωμένο
    
14. 
    Windows Server 2016 – πλήρως ενημερωμένο
    
15. 
    Windows Server 2012 – χωρίς ESU, ESU1
    
16. 
    Windows Server 2012 R2 – χωρίς ESU, ESU1
    
17. 
    Windows Server 2008 R2 – χωρίς ESU, ESU1, ESU2, ESU3, ESU4
    

“Δεδομένου ότι πρόκειται για μια ευπάθεια “0day” χωρίς επίσημη ενημέρωση από τον προμηθευτή, παρέχουμε τις μικροεπιδιορθώσεις μας δωρεάν έως ότου γίνει διαθέσιμη μια τέτοια επιδιόρθωση”, δήλωσε ο Kolsek.

Για να εγκαταστήσετε τις απαραίτητες ενημερώσεις κώδικα στο σύστημα Windows,

δημιουργήστε έναν λογαριασμό 0patch

και εγκαταστήστε το

0patch agent

στη συσκευή.

Μόλις εκκινήσετε τον παράγοντα, το micropatch θα εφαρμοστεί αυτόματα χωρίς να απαιτείται επανεκκίνηση του συστήματος, υπό την προϋπόθεση ότι δεν υπάρχει πολιτική προσαρμοσμένης ενημέρωσης κώδικα για τον αποκλεισμό του.