EventLogCrasher:危险的新0day可废掉Windows安全日志

阅读量75387

发布时间 : 2024-02-04 11:18:31

一个新的漏洞使安全系统变得毫无用处。

一个名为 EventLogCrasher 的新Windows 漏洞允许攻击者远程破坏同一 Windows 域中设备上的事件日志服务。为此,攻击者只需拥有到目标设备的网络连接和任何有效的凭据(即使权限较低)。

该漏洞影响所有版本的 Windows,从 Windows 7 到最新的 Windows 11,从 Server 2008 R2 到 Server 2022。该漏洞的发现者是一位名为 Florian 的安全研究人员,他 向 Microsoft 安全响应中心报告了该漏洞( MSRC)。)Florian 还 发布了 该攻击的概念证明(Proof-of-Concept,PoC)。微软指出,该问题不符合缓解要求,并且与 2022 年发现的漏洞重复,但未提供更多详细信息。

Varonis 于 2022 年披露的 一个名为 LogCrusher 的类似漏洞 也尚未修补,该漏洞允许任何域用户远程崩溃任何 Windows 计算机上的应用程序事件日志。

正如 Florian 所解释的,当攻击者将无效的UNICODE_STRING对象发送到ElfrRegisterEventSourceW方法(可通过基于RPC(远程过程调用) 的 EventLog 远程处理协议访问)时, wevtsvc!VerifyUnicodeString 中就会发生故障。

事件日志服务故障的后果是严重的,因为它直接影响安全信息和事件管理(SIEM)和入侵检测系统(IDS)系统,这些系统无法接收新事件来触发警报。

幸运的是,安全和系统事件在内存中排队,一旦日志服务再次可用,就会将其添加到事件日志中。但是,如果队列已满或受攻击的系统关闭,此类排队事件可能无法恢复。

Micropatch 服务0patch指出, 低权限攻击者可以禁用 本地计算机以及网络上任何其他 Windows 计算机上可以进行身份验证的事件日志服务。在 Windows 域中,这意味着域中的所有计算机,包括域控制器。在服务停机期间,任何使用Windows日志的检测机制都将失明,从而允许攻击者进行进一步的攻击,例如密码猜测和利用远程服务。

0patch 已针对大多数受影响的 Windows 版本发布了非官方补丁,在 Microsoft 发布官方安全更新来解决该漏洞之前,这些补丁可以免费使用:

  • Windows 11 v22H2、v23H2 – 全面更新;
  • Windows 11 v21H2 – 全面更新;
  • Windows 10 v22H2 – 全面更新;
  • Windows 10 v21H2 – 全面更新;
  • Windows 10 v21H1 – 全面更新;
  • Windows 10 v20H2 – 全面更新;
  • Windows 10 v2004 – 全面更新;
  • Windows 10 v1909 – 全面更新;
  • \Windows 10 v1809 – 完全更新;
  • Windows 10 v1803 – 全面更新;
  • Windows 7 – 不带 ESU、ESU1、ESU2、ESU3;
  • Windows Server 2022 – 完全更新;
  • Windows Server 2019 – 全面更新;
  • Windows Server 2016 – 全面更新;
  • Windows Server 2012 – 不带 ESU、ESU1;
  • Windows Server 2012 R2 – 不带 ESU、ESU1;
  • Windows Server 2008 R2 – 不带 ESU、ESU1、ESU2、ESU3、ESU4。

要在 Windows 系统上安装必要的补丁,请创建 0patch 帐户并在您的设备上安装 0patch 代理。启动代理后,将自动应用微补丁。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66