Windows Event Logمحققان امنیت سایبری جزئیاتی را درباره یک جفت آسیب‌پذیری (Windows Event Log) در ویندوز مایکروسافت فاش کرده‌اند که یکی از آن‌ها می‌تواند منجر به انکار سرویس (DoS) شود.

این بهره‌بردارها که توسط Varonis، LogCrusher و OverLog نامیده می‌شوند، پروتکل راه دور EventLog ([1]MS-EVEN) را هدف قرار می‌دهند که دسترسی از راه دور به event log ها را امکان‌پذیر می‌کند.

Dolev Taler در گزارشی که با The Hacker News به اشتراک گذاشته می‌گوید[۲]: “درحالی‌که حالت اول به هر کاربر دامنه اجازه می‌دهد از راه دور برنامه رویداد Log هر دستگاه ویندوزی را خراب کند، OverLog با پر کردن فضای هارددیسک هر دستگاه ویندوز در دامنه باعث ایجاد DoS می‌شود.”

OverLog به شناسه CVE CVE-2022-37981 (امتیاز ۴/۳ در مقیاس CVSS) اختصاص داده شده است و توسط مایکروسافت به‌عنوان بخشی از به‌روزرسانی‌های وصله سه‌شنبه اکتبر[۳] خود به آن پرداخته شده است. بااین‌حال، LogCrusher حل‌نشده باقی‌مانده است.

این غول فناوری در توصیه‌ای درباره نقص منتشرشده در اوایل ماه جاری گفت: “عملکرد می‌تواند قطع شود و/یا کاهش یابد، اما مهاجم نمی‌تواند به‌طور کامل سرویس را انکار کند.”

به گفته Varonis، این مسائل به این واقعیت بستگی دارد که یک مهاجم می‌تواند یک handle برای لاگ legacy اینترنت اکسپلورر به دست آورد، و به‌طور مؤثر زمینه را برای حملاتی فراهم می‌کند که از handle برای خراب کردن گزارش رویداد روی دستگاه قربانی و حتی ایجاد شرایط DoS استفاده می‌کنند.

این امر با ترکیب آن با نقص دیگری در یک عملکرد پشتیبان گزارش (BackupEventLogW) برای پشتیبان‌گیری مکرر از گزارش‌های دلخواه در یک پوشه قابل‌نوشتن در میزبان موردنظر تا زمانی که هارددیسک پر شود، به دست می‌آید[۴].

مایکروسافت از آن زمان نقص OverLog را با محدود کردن دسترسی به گزارش رویداد اینترنت اکسپلورر برای مدیران محلی برطرف کرده است و درنتیجه احتمال سوءاستفاده را کاهش می‌دهد.

Taler دراین‌باره گفت: «درحالی‌که این به مجموعه خاصی از بهره‌بردارهای Event Log اینترنت اکسپلورر می‌پردازد، پتانسیلی برای سایر برنامه‌های Event Log قابل‌دسترسی کاربر وجود دارد که به‌طور مشابه برای حملات مورداستفاده قرار گیرند.

 

منابع

[۱] https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-even/55b13664-f739-4e4e-bd8d-04eeda59d09f

[۲] https://www.varonis.com/blog/the-logging-dead-two-windows-event-log-vulnerabilities

[۳] https://thehackernews.com/2022/10/microsoft-patch-tuesday-fixes-new.html

[۴] https://learn.microsoft.com/en-us/windows/win32/api/winbase/nf-winbase-backupeventlogw

[۵] https://thehackernews.com/2022/10/researchers-detail-windows-event-log.html