Интересно EventLogCrasher: 0day, который ослепляет всю сеть Windows

[Sepultura_North]

EventLogCrasher: 0day, который ослепляет всю сеть Windows​

2 февраля, 2024

Новая уязвимость делает системы защиты бесполезными.

Новая уязвимость Windows - это операционная система для персональных компьютеров, разработанная и выпускаемая компанией Microsoft. ОС предоставляет пользователю удобный интерфейс и обширный функционал для работы с компьютером. Первая версия Windows вышла в 1985 году.

С помощью Windows пользователи могут закрывать целый спектр различных потребностей, будь то работа, учёба, развлечения, разработка программного обеспечения и т.п.

Windows поддерживает широкий спектр аппаратного обеспечения, что делает её самой популярной и широко используемой настольной ОС в мире, способной, впрочем, работать также и на мобильных устройствах.
Windows, получившая название EventLogCrasher, позволяет злоумышленнику удаленно вывести из строя службу журнала событий на устройствах в одном домене Windows. Для этого атакующему достаточно иметь сетевое подключение к целевому устройству и любые действительные учетные данные (даже с низкими привилегиями).

Уязвимость затрагивает все версии Windows, от Windows 7 до последней Windows 11 и от Server 2008 R2 до Server 2022. Открытие недостатка приписывают исследователю безопасности, известному как Florian, который сообщил о ней в Центр реагирования на угрозы безопасности Microsoft - это американская многопрофильная компания, занимающаяся разработкой программного обеспечения и производством компьютерной техники. Она была основана в 1975 году Биллом Гейтсом и Полом Алленом и на сегодняшний день является одной из самых крупных и известных IT-компаний в мире.

Среди продуктов Microsoft наиболее известными являются операционные системы Windows, пакеты офисных приложений Office, браузер Internet Explorer и поисковая система Bing. Кроме того, компания занимается разработкой программного обеспечения для серверов, баз данных, игровых консолей Xbox и многих других устройств.

Microsoft также предоставляет услуги облачных вычислений и хранения данных через свою платформу Azure, а также занимается разработкой искусственного интеллекта и других инновационных технологий. Компания имеет филиалы по всему миру и сотрудничает с многими крупными корпорациями и организациями.
Microsoft (Microsoft Security Response Center, MSRC). Флориан также опубликовал доказательство концепции атаки (Proof-of-Concept, PoC Proof-of-Concept доказательство концепции - реализация метода и его демонстрация на практике, чтобы доказать, что концепция или теория работает.
PoC. Компания Microsoft отметила, что данная проблема не соответствует требованиям для устранения и является дубликатом уязвимости, обнаруженной в 2022 году, не предоставив больше подробностей.

Похожая уязвимость под названием LogCrusher, раскрытая компанией Varonis в 2022 году, также пока не исправлена и позволяет любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows;.
Как объясняет Florian, сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет неверный объект UNICODE_STRING в метод ElfrRegisterEventSourceW , доступный через протокол удаленного взаимодействия EventLog на основе Remote Procedure Call RPC— это протокол, позволяющий программе выполнить процедуру функцию на другом компьютере в сети, не заботясь о деталях взаимодействия с этой сетью. Другими словами, RPC абстрагирует процесс вызова функций так, будто они выполняются локально, хотя на самом деле они выполняются на удаленном сервере. Это один из основных методов реализации клиент-серверных взаимодействий и распределенных вычислений.

RPC работает на основе принципа запрос-ответ клиент отправляет запрос на выполнение определенной процедуры на сервер, передавая необходимые параметры, сервер выполняет процедуру и отправляет результат обратно клиенту. Этот процесс скрыт от пользователя и разработчика, предоставляя простой и эффективный интерфейс для взаимодействия между программами в сети.
RPC (Remote Procedure Call).

Последствия сбоя службы журнала событий серьезны, так как это прямо влияет на системы управления информационной безопасностью и событиями безопасности (Security Information and Event Management,
SIEM (Security Information and Event Management) система, которая предназначена для анализа информации, поступающей от различных систем на подобии DLP, IDS, антивирусов и прочее. Она занимается выявлением отклонения от норм по каким-либо критериям. В основе работы SIEM лежит математика и статистика. В свою очередь, каких-либо защитных функций SIEM в себе не несет.
SIEM также собирает доказательную базу по инцидентам. Она мониторит события от устройств/серверов/критически важных систем, создавая соответствующие оповещения.
SIEM и системы обнаружения вторжений (Intrusion Detection System, Система обнаружения вторжений (Intrusion Detection System, IDS) – это система, предназначенная для обнаружения несанкционированного доступа, злоупотребления, атак или других компрометирующих действий, направленных на информационные системы и сети. IDS могут быть разделены на две основные категории:

• Сетевые системы обнаружения вторжений (NIDS): Эти системы анализируют весь сетевой трафик, проходящий через определенные точки в сети, чтобы обнаружить аномалии или подозрительные активности.
• Хост-основанные системы обнаружения вторжений (HIDS): Эти системы устанавливаются на конкретных устройствах или хостах и анализируют логи, системные события и другую информацию, связанную с устройством, чтобы обнаружить возможные нарушения.

IDS обычно используются в сочетании с другими системами безопасности, такими как межсетевые экраны (firewalls) и системы предотвращения вторжений (IPS), для обеспечения максимального уровня защиты сетевых ресурсов и данных.
IDS, которые не могут получать новые события для активации тревоги.

К счастью, события безопасности и системы ставятся в очередь в памяти и будут добавлены в журналы событий после того, как служба журнала снова станет доступна. Однако такие события в очереди могут быть не восстановимы, если очередь заполнится или атакованная система выключится.
Служба микропатчей 0patch — это сервис микропатчей от компании ACROS Security. Сервис предназначен для обеспечения безопасности программного обеспечения путем немедленного предоставления микропатчей (небольших исправлений) для известных уязвимостей в операционных системах и приложениях.

Микропатчи от 0patch позволяют временно или постоянно исправить уязвимости без необходимости ждать официального обновления от производителя или в случаях, когда официальное обновление недоступно из-за прекращения поддержки продукта.
0patch отметила, что атакующий с низкими привилегиями может выключить службу журнала событий как на локальной машине, так и на любом другом компьютере Windows в сети, в котором он может аутентифицироваться. В домене Windows это означает все компьютеры домена, включая контроллеры домена. Во время простоя службы любые механизмы обнаружения, использующие журналы Windows, будут слепы, позволяя атакующему провести дальнейшие атаки, такие как подбор паролей и эксплуатацию удаленных служб.

0patch выпустила неофициальные исправления для большинства затронутых версий Windows, доступные бесплатно до тех пор, пока Microsoft не выпустит официальные обновления безопасности для устранения уязвимости:

• Windows 11 v22H2, v23H2 — полностью обновлено;
• Windows 11 v21H2 — полностью обновлена;
• Windows 10 v22H2 — полностью обновлена;
• Windows 10 v21H2 — полностью обновлена;
• Windows 10 v21H1 — полностью обновлена;
• Windows 10 v20H2 — полностью обновлена;
• Windows 10 v2004 — полностью обновлена;
• Windows 10 v1909 — полностью обновлена;
• \Windows 10 v1809 — полностью обновлена;
• Windows 10 v1803 — полностью обновлена;
• Windows 7 — без ESU, ESU1, ESU2, ESU3;
• Windows Server 2022 — полностью обновлено;
• Windows Server 2019 — полностью обновлено;
• Windows Server 2016 — полностью обновлено;
• Windows Server 2012 — без ESU, ESU1;
• Windows Server 2012 R2 — без ESU, ESU1;
• Windows Server 2008 R2 — без ESU, ESU1, ESU2, ESU3, ESU4.

Чтобы установить необходимые исправления на вашу систему Windows, создайте учетную запись 0patch и установите агент 0patch на устройство. После запуска агента микропатч будет применен автоматически.