EventLogCrasher: 0day, который ослепляет всю сеть Windows

Новая уязвимость Windows, получившая название EventLogCrasher, позволяет злоумышленнику удаленно вывести из строя службу журнала событий на устройствах в одном домене Windows. Для этого атакующему достаточно иметь сетевое подключение к целевому устройству и любые действительные учетные данные (даже с низкими привилегиями).

Уязвимость затрагивает все версии Windows, от Windows 7 до последней Windows 11 и от Server 2008 R2 до Server 2022. Открытие недостатка приписывают исследователю безопасности, известному как Florian, который сообщил о ней в Центр реагирования на угрозы безопасности Microsoft (Microsoft Security Response Center, MSRC). Флориан также опубликовал доказательство концепции атаки (Proof-of-Concept, PoC). Компания Microsoft отметила, что данная проблема не соответствует требованиям для устранения и является дубликатом уязвимости, обнаруженной в 2022 году, не предоставив больше подробностей.

Похожая уязвимость под названием LogCrusher, раскрытая компанией Varonis в 2022 году, также пока не исправлена и позволяет любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows;.

Как объясняет Florian, сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет неверный объект UNICODE_STRING в метод ElfrRegisterEventSourceW , доступный через протокол удаленного взаимодействия EventLog на основе RPC (Remote Procedure Call).

Последствия сбоя службы журнала событий серьезны, так как это прямо влияет на системы управления информационной безопасностью и событиями безопасности (Security Information and Event Management, SIEM) и системы обнаружения вторжений (Intrusion Detection System, IDS), которые не могут получать новые события для активации тревоги.

К счастью, события безопасности и системы ставятся в очередь в памяти и будут добавлены в журналы событий после того, как служба журнала снова станет доступна. Однако такие события в очереди могут быть не восстановимы, если очередь заполнится или атакованная система выключится.

Служба микропатчей 0patch отметила, что атакующий с низкими привилегиями может выключить службу журнала событий как на локальной машине, так и на любом другом компьютере Windows в сети, в котором он может аутентифицироваться. В домене Windows это означает все компьютеры домена, включая контроллеры домена. Во время простоя службы любые механизмы обнаружения, использующие журналы Windows, будут слепы, позволяя атакующему провести дальнейшие атаки, такие как подбор паролей и эксплуатацию удаленных служб.

0patch выпустила неофициальные исправления для большинства затронутых версий Windows, доступные бесплатно до тех пор, пока Microsoft не выпустит официальные обновления безопасности для устранения уязвимости:

• Windows 11 v22H2, v23H2 — полностью обновлено;
• Windows 11 v21H2 — полностью обновлена;
• Windows 10 v22H2 — полностью обновлена;
• Windows 10 v21H2 — полностью обновлена;
• Windows 10 v21H1 — полностью обновлена;
• Windows 10 v20H2 — полностью обновлена;
• Windows 10 v2004 — полностью обновлена;
• Windows 10 v1909 — полностью обновлена;
• \Windows 10 v1809 — полностью обновлена;
• Windows 10 v1803 — полностью обновлена;
• Windows 7 — без ESU, ESU1, ESU2, ESU3;
• Windows Server 2022 — полностью обновлено;
• Windows Server 2019 — полностью обновлено;
• Windows Server 2016 — полностью обновлено;
• Windows Server 2012 — без ESU, ESU1;
• Windows Server 2012 R2 — без ESU, ESU1;
• Windows Server 2008 R2 — без ESU, ESU1, ESU2, ESU3, ESU4.

Чтобы установить необходимые исправления на вашу систему Windows, создайте учетную запись 0patch и установите агент 0patch на устройство. После запуска агента микропатч будет применен автоматически.