LogCrusher OverLog DoS Internet Explorer Windows Microsoft
Устаревшие журналы событий Internet Explorer приводят к состоянию «отказ в обслуживании».
Исследователи кибербезопасности из компании Varonis
раскрыли подробности
об уязвимостях в Windows, одна из которых может привести к отказу в обслуживании (Denial of Service, Атака типа «отказ в обслуживании» (Denial of Service, DoS) — это атака, направленная на отключение машины или сети, делая их недоступными для пользователей. При DoS-атаках цель заливается трафиком или получает информацию, которая вызывает сбой в работе. В обоих случаях DoS-атака лишает легитимных пользователей (т.е. сотрудников, участников или владельцев учетных записей) услуги или ресурса, на которые они рассчитывали.”
data-html=”true” data-original-title=”DoS”
>DoS).
Эксплойты, названные экспертами LogCrusher и OverLog, нацелены на протокол удаленного взаимодействия EventLog ( MS-EVEN ), который обеспечивает удаленный доступ к журналам событий.
LogCrusher позволяет «любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows»;
OverLog вызывает отказ в обслуживании, заполняя пространство на жестком диске любого компьютера с Windows на домене.
Недостатку OverLog был присвоен CVE-идентификатор
CVE-2022-37981
(оценка CVSS: 4,3), и Microsoft исправила его в рамках
октябрьского вторника исправлений . А LogCrusher, в свою очередь, остается нерешенным.
По словам Microsoft, из-за эксплуатации этих уязвимостей производительность может быть прервана или снижена, но злоумышленник не может полностью добиться состояния «отказа в обслуживании».
Согласно Varonis, проблемы связаны с тем, что киберпреступник может получить дескриптор устаревшего журнала Internet Explorer, чтобы вызвать сбой журнала событий на компьютере-жертве и состояние «отказа в обслуживании».
Это достигается путем использования функции «BackupEventLogW» для многократного резервного копирования произвольных журналов в доступную для записи папку на целевом хосте, пока жесткий диск не будет заполнен.
С тех пор Microsoft исправила недостаток OverLog, ограничив доступ к журналу событий Internet Explorer локальными администраторами, тем самым уменьшив вероятность неправомерного использования.
«Хотя исправление относится к этому конкретному набору эксплойтов журнала событий Internet Explorer, другие пользователи могут аналогичным способом использовать доступные им журналы событий приложений для атак.