Microsoft 事件日志漏洞威胁某些 Windows 操作系统

尽管微软在 2022 年 6 月终止了对 IE 的支持，但两个新发现的漏洞凸显了 Internet Explorer (IE) 深度集成到 Windows 生态系统所带来的持续风险。

由 Varonis Threat Labs 团队发现，这些漏洞影响了一个特定于 IE 的事件日志，该事件日志存在于所有当前 Windows 操作系统（包括但不包括 Windows 11）上。这些漏洞被研究人员称为 LogCrusher 和 OverLog，已被报告微软于 2022 年 10 月 11 日发布了部分补丁。敦促团队修补系统并监控可疑活动，以减轻安全风险，包括事件日志崩溃和远程拒绝服务 (DoS) 攻击。

漏洞利用影响 Microsoft 事件日志远程协议的功能

在Varonis Threat Labs 的一篇博客文章中，安全研究员 Dolev Taler 写道，LogCrusher 和 OverLog 都使用 Microsoft 事件日志远程协议 (MS-EVEN) 的功能，该协议允许远程操作机器的事件日志。Windows API 函数 (OpenEventLogW) 允许用户打开本地或远程计算机上特定事件日志的句柄，并且对于可以使用它来读取、写入和清除远程计算机的事件日志的服务非常有用，而无需研究人员补充说，手动连接到机器本身。

“默认情况下，低权限、非管理用户无法处理其他机器的事件日志。一个例外是旧版 Internet Explorer 日志——它存在于每个 Windows 版本中，并且有自己的安全描述符来覆盖默认权限，”博客写道。

LogCrusher 使 Windows 机器的 Event Log 应用程序崩溃

Varonis Threat Labs 表示，LogCrusher 漏洞利用是一个 ElfClearELFW 逻辑错误，允许任何域用户远程崩溃域中任何 Windows 机器的事件日志应用程序。“不幸的是，ElfClearELFW 函数存在不正确的输入验证错误。它预计 BackupFileName 结构将用零值初始化，但当指向该结构的指针为 NULL 时，进程崩溃，”Dolev 写道。默认情况下，事件日志服务将尝试再重新启动两次，但第三次将保持关闭 24 小时。许多安全控制依赖于事件日志服务的正常运行，而崩溃的影响意味着安全控制可能会变得盲目。

OverLog 可用于对 Windows 机器发起远程 DoS 攻击

Taler 表示，OverLog 漏洞 ( CVE-2022-37981 ) 可用于利用 BackupEventLogW 功能并通过填充域中任何 Windows 机器的硬盘空间来发起远程 DoS 攻击。“这里的错误更简单，虽然它在文档中说备份用户需要具有 SE_BACKUP_NAME 权限，但代码并没有验证它——因此每个用户都可以将文件备份到远程机器，如果他们对那台机器上的文件夹，”他写道。他还提供了以下攻击流示例：

1. 获取受害者机器上 Internet Explorer 事件日志的句柄
2. 将一些任意日志写入事件日志（随机字符串；不同长度）
3. 将日志备份到机器上的可写文件夹（例如：“c:windowstasks”），每个域用户默认都有写权限
4. 重复备份过程，直到硬盘驱动器已满且计算机停止运行
5. 受害者机器无法写入“页面文件”（虚拟内存），使其无法使用
   
   

补丁降低风险，敦促团队监控可疑活动

根据 Taler 的说法，微软选择不完全修复 Windows 10 上的 LogCrusher 漏洞（更新的操作系统不受影响）。“截至 Microsoft 的 2022 年 10 月 11 日补丁星期二更新，允许非管理员用户访问远程计算机上的 Internet Explorer 事件日志的默认权限设置已仅限于本地管理员，大大降低了潜在的危害，”他添加。然而，Taler 警告说，虽然这解决了这组特定的 IE 事件日志漏洞利用，但其他用户可访问的应用程序事件日志仍有可能被类似地用于攻击。因此，微软应用的补丁应该应用于所有可能存在漏洞的系统，安全团队应该监控可疑活动，他总结道。

Forrester 高级分析师说：“虽然应该修补此漏洞，但我目前不会将这种情况归类为高风险。它需要一个用户帐户，如果该帐户已被泄露，您可能会遇到更大的问题。此外，已经发布了一个补丁（现在需要一个管理员帐户才能妥协，与上述相同）。这里的建议是安装 Microsoft 补丁并监控异常写入活动。展望未来，这是随着 Internet Explorer 走向灭绝而被发现的众多漏洞之一。”

原文始发于微信公众号（网络研究院）：Microsoft 事件日志漏洞威胁某些 Windows 操作系统