Le vulnerabilità del registro eventi di Microsoft minacciano alcuni sistemi operativi Windows

by Posted on

Un paio di vulnerabilità scoperte di recente hanno evidenziato i rischi in corso posti dalla profonda integrazione di Internet Explorer (IE) nell’ecosistema Windows, nonostante Microsoft abbia terminato il supporto per IE nel giugno 2022.

Scoperti dal team di Varonis Threat Labs, gli exploit interessano un Event Log specifico di IE presente in tutti gli attuali sistemi operativi Windows fino a Windows 11, ma escluso. Vengono segnalate le vulnerabilità, chiamate LogCrusher e OverLog dai ricercatori. presso Microsoft, che ha rilasciato una patch parziale l’11 ottobre 2022. I team sono incoraggiati ad applicare patch ai sistemi e monitorare le attività sospette per mitigare i rischi per la sicurezza che includono arresti anomali del registro eventi e attacchi DoS (Denial of Service) remoti.

Gli exploit influiscono sulle funzioni del protocollo remoto del registro eventi di Microsoft

In un post sul blog di Varonis Threat Labs, il ricercatore sulla sicurezza Dolev Taler ha scritto che LogCrusher e OverLog utilizzano le funzioni Microsoft Event Log Remoting Protocol (MS-EVEN), che consentono la manipolazione remota dei registri degli eventi di una macchina. La funzione API di Windows (OpenEventLogW) consente a un utente di aprire un handle per un registro eventi specifico su una macchina locale o remota ed è utile per i servizi che possono utilizzarlo per leggere, scrivere e cancellare i registri eventi per macchine remote senza la necessità di connettersi manualmente alle macchine stesse, ha aggiunto il ricercatore.

“Per impostazione predefinita, gli utenti non amministrativi con privilegi limitati non possono ottenere un handle per i registri eventi di altre macchine. Un’eccezione a questo è il registro legacy di Internet Explorer, che esiste in ogni versione di Windows e ha il proprio descrittore di sicurezza che sovrascrive le autorizzazioni predefinite”, si legge nel blog.

LogCrusher arresta in modo anomalo l’applicazione Registro eventi delle macchine Windows

L’exploit LogCrusher è un bug logico ElfClearELFW che consente a qualsiasi utente di dominio di bloccare in remoto l’applicazione Event Log di qualsiasi macchina Windows nel dominio, ha affermato Varonis Threat Labs. “Purtroppo, la funzione ElfClearELFW ha un bug di convalida dell’input errato. Si aspetta che la struttura BackupFileName venga inizializzata con un valore zero, ma quando il puntatore alla struttura è NULL, il processo si arresta in modo anomalo”, ha scritto Dolev. Per impostazione predefinita, il servizio Registro eventi tenterà di riavviarsi due volte, ma la terza volta si bloccherà per 24 ore. Molti controlli di sicurezza si basano sul normale funzionamento del servizio Event Log e l’impatto dell’arresto anomalo significa che i controlli di sicurezza possono essere ciechi, i prodotti di controllo di sicurezza collegati possono smettere di funzionare e gli aggressori possono utilizzare qualsiasi tipo di exploit o attacco comunemente visto impunemente poiché molti avvisi non si attiveranno, ha continuato il blog.

OverLog può essere utilizzato per lanciare attacchi DoS remoti su macchine Windows

La vulnerabilità OverLog (CVE-2022-37981) può essere utilizzata per sfruttare la funzione BackupEventLogW e lanciare un attacco DoS remoto riempiendo lo spazio sul disco rigido di qualsiasi macchina Windows nel dominio, ha affermato Taler. “Il bug qui è più semplice e, sebbene nella documentazione venga indicato che l’utente di backup deve avere il privilegio SE_BACKUP_NAME, il codice non lo convalida, quindi ogni utente può eseguire il backup dei file su una macchina remota se ha accesso in scrittura a una cartella su quella macchina”, ha scritto. Ha anche fornito il seguente esempio di flusso di attacco:

  1. Ottieni un handle sul registro eventi di Internet Explorer sul computer della vittima
  2. Scrivi alcuni registri arbitrari nel registro eventi (stringhe casuali; lunghezze diverse)
  3. Eseguire il backup del registro in una cartella scrivibile sulla macchina (esempio: “c:\windows\tasks”) in cui ogni utente di dominio dispone dell’autorizzazione di scrittura per impostazione predefinita
  4. Ripetere il processo di backup finché il disco rigido non è pieno e il computer smette di funzionare
  5. La macchina della vittima non può scrivere nel “pagefile” (memoria virtuale), rendendolo inutilizzabile

La patch mitiga i rischi, spingendo i team a monitorare le attività sospette

Microsoft ha scelto di non correggere completamente la vulnerabilità di LogCrusher in Windows 10 (i sistemi operativi più recenti non sono interessati), secondo Taler. “A partire dall’aggiornamento dell’11 ottobre 2022 Patch Tuesday di Microsoft, l’impostazione delle autorizzazioni predefinite che consentiva agli utenti non amministrativi di accedere al registro eventi di Internet Explorer su macchine remote è stata limitata agli amministratori locali, riducendo notevolmente il rischio di danni”, ha aggiunto. Tuttavia, sebbene ciò risolva l’insieme specifico di exploit di IE Event Log, resta la possibilità che altri Event Log di applicazioni accessibili all’utente vengano utilizzati in modo simile per gli attacchi, avverte Taler. Pertanto, la patch applicata da Microsoft dovrebbe essere applicata a tutti i sistemi potenzialmente vulnerabili e i team di sicurezza dovrebbero essere monitorati per attività sospette, ha concluso.

Copyright © 2022 IDG Communications, Inc.

Published by onantif.com

Leave a Reply

Your email address will not be published. Required fields are marked *