Δωρεάν ανεπίσημες ενημερώσεις για μια νέα ευπάθεια zero-day στα Windows με το όνομα EventLogCrasher, που επιτρέπει σε επιτιθέμενους να προκαλούν απομακρυσμένα την κατάρρευση της υπηρεσίας Event Log σε συσκευές εντός του ίδιου τομέα των Windows.
Δείτε επίσης: Google Chrome: Έκτακτη ενημέρωση για zero-day ευπάθεια
Αυτή η ευπάθεια zero-day επηρεάζει όλες τις εκδόσεις των Windows, από τα Windows 7 έως τα πιο πρόσφατα Windows 11 και από τον διακομιστή 2008 R2 έως τον διακομιστή 2022.
Το EventLogCrasher ανακαλύφθηκε και αναφέρθηκε στην ομάδα του Microsoft Security Response Center από έναν ερευνητή ασφαλείας με το ψευδώνυμο Florian. Η Microsoft το κατατάσσει ως μη πληρόν τις απαιτήσεις συντήρησης και το χαρακτηρίζει ως διπλότυπο του σφάλματος του 2022 (ο Florian δημοσίευσε επίσης ένα PoC την προηγούμενη εβδομάδα).
Ενώ η Microsoft δεν παρείχε περισσότερες λεπτομέρειες σχετικά με την ευπάθεια του 2022, η εταιρεία λογισμικού Varonis αποκάλυψε μια παρόμοια αδυναμία με το όνομα “LogCrusher” (που ακόμα περιμένει διόρθωση) και μπορεί να εκμεταλλευτεί από οποιονδήποτε χρήστη του τομέα για να καταρρίψει απομακρυσμένα την υπηρεσία του Αρχείου Συμβάντων σε μηχανήματα με Windows σε όλο τον τομέα.
Για να εκμεταλλευτούν την ευπάθεια στις προεπιλεγμένες ρυθμίσεις της τείχους προστασίας των Windows, οι επιτιθέμενοι χρειάζονται δικτυακή συνδεσιμότητα με τη συσκευή-στόχο και έγκυρα διαπιστευτήρια (ακόμη και με χαμηλά προνόμια).
Δείτε ακόμα: Η Apple διορθώνει zero-day ευπάθειες σε παλιότερα iPhones
Έτσι, μπορούν πάντα να καταρρίψουν την υπηρεσία Event Log τοπικά και σε όλους τους υπολογιστές Windows στον ίδιο τομέα, συμπεριλαμβανομένων των ελεγκτών τομέα, με αποτέλεσμα να διασφαλίσουν ότι η κακόβουλη δραστηριότητά τους δεν θα καταγράφεται πλέον στο Windows Event Log.
Σύμφωνα με τον Florian, η κατάρρευση συμβαίνει στο wevtsvc!VerifyUnicodeString όταν ένας εισβολέας στέλνει ένα αντικείμενο UNICODE_STRING με κακή μορφή στη μέθοδο ElfrRegisterEventSourceW, το οποίο εκτίθεται από το πρωτόκολλο απομακρυσμένης καταγραφής συμβάντων που βασίζεται σε RPC.
Ευτυχώς, οι ασφάλεια και τα συμβάντα του συστήματος αποθηκεύονται στη μνήμη και θα προστεθούν στα αρχεία καταγραφής συμβάντων μετά την επαναδιαθεσιμότητα της υπηρεσίας αρχείων καταγραφής συμβάντων.
“Μέχρι στιγμής, ανακαλύψαμε ότι ένας επιτιθέμενος με χαμηλά προνόμια μπορεί να καταρρίψει την υπηρεσία καταγραφής συμβάντων τόσο στον τοπικό υπολογιστή όσο και σε οποιονδήποτε άλλο υπολογιστή Windows στο δίκτυο στον οποίο μπορεί να πιστοποιηθεί. Σε έναν τομέα Windows, αυτό σημαίνει όλους τους υπολογιστές του τομέα, συμπεριλαμβανομένων των ελεγκτών τομέα“, όπως δήλωσε ο συνιδρυτής της 0patch, Mitja Kolsek.
Η υπηρεσία 0patch κυκλοφόρησε ανεπίσημες επιδιορθώσεις για τις περισσότερες εκδόσεις των Windows που επηρεάζονται, διαθέσιμες δωρεάν μέχρι η Microsoft να κυκλοφορήσει επίσημες ενημερώσεις ασφαλείας για την αντιμετώπιση του zero-day EventLogCrasher.
Δείτε επίσης: Η Apple διορθώνει zero-day που επιτρέπει επιθέσεις σε iPhone / iPad
Ποιες είναι οι τεχνικές αντιμετώπισης των Zero-Day attacks;
Η πρώτη τεχνική που μπορεί να χρησιμοποιηθεί για την αντιμετώπιση των επιθέσεων Zero-Day είναι η ενημέρωση και η επιθεώρηση του λογισμικού. Αυτό σημαίνει ότι το λογισμικό πρέπει να ενημερώνεται τακτικά, ώστε να μπορεί να αντιμετωπίσει τυχόν ευπάθειες που μπορεί να εκμεταλλευτεί ένας επιτιθέμενος.
Μια άλλη τεχνική είναι η χρήση εργαλείων ανίχνευσης εισβολών (IDS) και συστημάτων πρόληψης εισβολών (IPS). Αυτά τα εργαλεία μπορούν να ανιχνεύσουν και να αποτρέψουν τις επιθέσεις Zero-Day αναλύοντας την κίνηση του δικτύου και ανιχνεύοντας τυχόν ασυνήθιστη συμπεριφορά.
Η χρήση λογισμικού αντιμετώπισης κακόβουλου λογισμικού (malware) είναι μια άλλη τεχνική που μπορεί να χρησιμοποιηθεί. Ένας από τους πιο αποτελεσματικούς τρόπους αντιμετώπισης των επιθέσεων Zero-Day είναι η χρήση λογισμικού προστασίας από ιούς και malware που παρέχει προστασία σε πραγματικό χρόνο και διαθέτει τη δυνατότητα αυτόματης ενημέρωσης.
Η εφαρμογή της αρχής της ελάχιστης προνομιούχας πρόσβασης (PoLP) μπορεί επίσης να βοηθήσει στην προστασία από τις επιθέσεις Zero-Day, καθώς περιορίζει την πρόσβαση των χρηστών μόνο σε αυτά που χρειάζονται για την εκτέλεση των εργασιών τους.
Πηγή: bleepingcomputer
