EventLogCrasher: 0day, который ослепляет всю сеть Windows

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Новая уязвимость делает системы защиты бесполезными.

Новая уязвимость Windows, получившая название EventLogCrasher, позволяет злоумышленнику удаленно вывести из строя службу журнала событий на устройствах в одном домене Windows. Для этого атакующему достаточно иметь сетевое подключение к целевому устройству и любые действительные учетные данные (даже с низкими привилегиями).

Уязвимость затрагивает все версии Windows, от Windows 7 до последней Windows 11 и от Server 2008 R2 до Server 2022. Открытие недостатка приписывают исследователю безопасности, известному как Florian, который сообщил о ней в Центр реагирования на угрозы безопасности Microsoft (Microsoft Security Response Center, MSRC). Флориан также опубликовал доказательство концепции атаки (Proof-of-Concept, PoC). Компания Microsoft отметила, что данная проблема не соответствует требованиям для устранения и является дубликатом уязвимости, обнаруженной в 2022 году, не предоставив больше подробностей.

Похожая уязвимость под названием LogCrusher, раскрытая компанией Varonis в 2022 году, также пока не исправлена и позволяет любому пользователю домена удаленно вызвать сбой журнала событий приложений на любом компьютере с Windows;.

Как объясняет Florian, сбой происходит в wevtsvc!VerifyUnicodeString, когда злоумышленник отправляет неверный объект UNICODE_STRING в метод ElfrRegisterEventSourceW , доступный через протокол удаленного взаимодействия EventLog на основе RPC (Remote Procedure Call).

Забудь про блокировки! VPN через Телеграмм-бот для России!

Последствия сбоя службы журнала событий серьезны, так как это прямо влияет на системы управления информационной безопасностью и событиями безопасности (Security Information and Event Management, SIEM) и системы обнаружения вторжений (Intrusion Detection System, IDS), которые не могут получать новые события для активации тревоги.

К счастью, события безопасности и системы ставятся в очередь в памяти и будут добавлены в журналы событий после того, как служба журнала снова станет доступна. Однако такие события в очереди могут быть не восстановимы, если очередь заполнится или атакованная система выключится.

  Старый загрузчик – новые методы: Bumblebee снова наводит переполох в американских компаниях

Служба микропатчей 0patch отметила, что атакующий с низкими привилегиями может выключить службу журнала событий как на локальной машине, так и на любом другом компьютере Windows в сети, в котором он может аутентифицироваться. В домене Windows это означает все компьютеры домена, включая контроллеры домена. Во время простоя службы любые механизмы обнаружения, использующие журналы Windows, будут слепы, позволяя атакующему провести дальнейшие атаки, такие как подбор паролей и эксплуатацию удаленных служб.

0patch выпустила неофициальные исправления для большинства затронутых версий Windows, доступные бесплатно до тех пор, пока Microsoft не выпустит официальные обновления безопасности для устранения уязвимости:

  • Windows 11 v22H2, v23H2 — полностью обновлено;
  • Windows 11 v21H2 — полностью обновлена;
  • Windows 10 v22H2 — полностью обновлена;
  • Windows 10 v21H2 — полностью обновлена;
  • Windows 10 v21H1 — полностью обновлена;
  • Windows 10 v20H2 — полностью обновлена;
  • Windows 10 v2004 — полностью обновлена;
  • Windows 10 v1909 — полностью обновлена;
  • Windows 10 v1809 — полностью обновлена;
  • Windows 10 v1803 — полностью обновлена;
  • Windows 7 — без ESU, ESU1, ESU2, ESU3;
  • Windows Server 2022 — полностью обновлено;
  • Windows Server 2019 — полностью обновлено;
  • Windows Server 2016 — полностью обновлено;
  • Windows Server 2012 — без ESU, ESU1;
  • Windows Server 2012 R2 — без ESU, ESU1;
  • Windows Server 2008 R2 — без ESU, ESU1, ESU2, ESU3, ESU4.

Чтобы установить необходимые исправления на вашу систему Windows, создайте учетную запись 0patch и установите агент 0patch на устройство. После запуска агента микропатч будет применен автоматически.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

  Цензура по-индийски: Appin Technology пытается заткнуть СМИ, освещающие её прошлое

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.