漏洞利用影响 Microsoft 事件日志远程协议的功能
在Varonis Threat Labs 的一篇博客文章中,安全研究员 Dolev Taler 写道,LogCrusher 和 OverLog 都使用 Microsoft 事件日志远程协议 (MS-EVEN) 的功能,该协议允许远程操作机器的事件日志。Windows API 函数 (OpenEventLogW) 允许用户打开本地或远程计算机上特定事件日志的句柄,并且对于可以使用它来读取、写入和清除远程计算机的事件日志的服务非常有用,而无需研究人员补充说,手动连接到机器本身。
LogCrusher 使 Windows 机器的 Event Log 应用程序崩溃
Varonis Threat Labs 表示,LogCrusher 漏洞利用是一个 ElfClearELFW 逻辑错误,允许任何域用户远程崩溃域中任何 Windows 机器的事件日志应用程序。“不幸的是,ElfClearELFW 函数存在不正确的输入验证错误。它预计 BackupFileName 结构将用零值初始化,但当指向该结构的指针为 NULL 时,进程崩溃,”Dolev 写道。默认情况下,事件日志服务将尝试再重新启动两次,但第三次将保持关闭 24 小时。许多安全控制依赖于事件日志服务的正常运行,而崩溃的影响意味着安全控制可能会变得盲目。
OverLog 可用于对 Windows 机器发起远程 DoS 攻击
Taler 表示,OverLog 漏洞 ( CVE-2022-37981 ) 可用于利用 BackupEventLogW 功能并通过填充域中任何 Windows 机器的硬盘空间来发起远程 DoS 攻击。“这里的错误更简单,虽然它在文档中说备份用户需要具有 SE_BACKUP_NAME 权限,但代码并没有验证它——因此每个用户都可以将文件备份到远程机器,如果他们对那台机器上的文件夹,”他写道。他还提供了以下攻击流示例:
-
获取受害者机器上 Internet Explorer 事件日志的句柄 -
将一些任意日志写入事件日志(随机字符串;不同长度) -
将日志备份到机器上的可写文件夹(例如:“c:windowstasks”),每个域用户默认都有写权限 -
重复备份过程,直到硬盘驱动器已满且计算机停止运行 -
受害者机器无法写入“页面文件”(虚拟内存),使其无法使用
补丁降低风险,敦促团队监控可疑活动
根据 Taler 的说法,微软选择不完全修复 Windows 10 上的 LogCrusher 漏洞(更新的操作系统不受影响)。“截至 Microsoft 的 2022 年 10 月 11 日补丁星期二更新,允许非管理员用户访问远程计算机上的 Internet Explorer 事件日志的默认权限设置已仅限于本地管理员,大大降低了潜在的危害,”他添加。然而,Taler 警告说,虽然这解决了这组特定的 IE 事件日志漏洞利用,但其他用户可访问的应用程序事件日志仍有可能被类似地用于攻击。因此,微软应用的补丁应该应用于所有可能存在漏洞的系统,安全团队应该监控可疑活动,他总结道。
Forrester 高级分析师说:“虽然应该修补此漏洞,但我目前不会将这种情况归类为高风险。它需要一个用户帐户,如果该帐户已被泄露,您可能会遇到更大的问题。此外,已经发布了一个补丁(现在需要一个管理员帐户才能妥协,与上述相同)。这里的建议是安装 Microsoft 补丁并监控异常写入活动。展望未来,这是随着 Internet Explorer 走向灭绝而被发现的众多漏洞之一。”
原文始发于微信公众号(网络研究院):Microsoft 事件日志漏洞威胁某些 Windows 操作系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论