Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một cặp lỗ hổng trong Microsoft windows, một trong số đó có thể bị khai thác để dẫn đến từ chối dịch vụ (DoS).
Các kỳ tích, được lồng tiếng LogCrusher và OverLog của Varonis, hãy nhắm đến Giao thức từ xa EventLog (MS-EVEN), cho phép truy cập từ xa vào nhật ký sự kiện.
Mặc dù trước đây cho phép “bất kỳ người dùng miền nào có thể làm sập ứng dụng Nhật ký sự kiện của bất kỳ máy Windows nào từ xa”, OverLog gây ra DoS bằng cách “lấp đầy dung lượng ổ cứng của bất kỳ máy Windows nào trên miền”, Dolev Taler cho biết trong một báo cáo được chia sẻ với The Tin tức Hacker.
OverLog đã được gán mã nhận dạng CVE CVE-2022-37981 (điểm CVSS: 4,3) và đã được Microsoft giải quyết như một phần của bản cập nhật Bản vá thứ Ba tháng 10. LogCrusher, tuy nhiên, vẫn chưa được giải quyết.
“Hiệu suất có thể bị gián đoạn và / hoặc giảm, nhưng kẻ tấn công không thể từ chối hoàn toàn dịch vụ”, gã khổng lồ công nghệ cho biết trong một lời khuyên cho lỗ hổng được công bố vào đầu tháng này.
Theo Varonis, các vấn đề liên quan đến việc kẻ tấn công có thể có được một xử lý đối với nhật ký Internet Explorer cũ, tạo tiền đề cho các cuộc tấn công sử dụng xử lý đó để làm hỏng Nhật ký Sự kiện trên máy nạn nhân và thậm chí gây ra tình trạng DoS .
Điều này đạt được bằng cách kết hợp nó với một lỗ hổng khác trong chức năng sao lưu nhật ký (BackupEventLogW) để sao lưu liên tục các bản ghi tùy ý vào một thư mục có thể ghi trên máy chủ được nhắm mục tiêu cho đến khi ổ cứng được lấp đầy.
Kể từ đó, Microsoft đã khắc phục lỗ hổng OverLog bằng cách hạn chế quyền truy cập vào Nhật ký sự kiện Internet Explorer đối với quản trị viên cục bộ, do đó giảm khả năng bị lạm dụng.
Taler cho biết: “Mặc dù điều này giải quyết tập hợp cụ thể của việc khai thác Nhật ký sự kiện của Internet Explorer, nhưng vẫn có khả năng cho các ứng dụng người dùng có thể truy cập được vào Nhật ký sự kiện khác sẽ được sử dụng tương tự cho các cuộc tấn công,” Taler nói.
