İki Windows Olay Günlüğü Hatası, Hackerların Olay Günlüğü uygulamalarını Uzaktan Kilitlemesine İzin Veriyor


Windows Olay Günlüğü Hataları, Hackerların DOS Gerçekleştirmesine ve Olay Günlüğü Uygulamalarını Uzaktan Çökmesine İzin Veriyor

Yakın zamanda Varonis Threat Labs’deki güvenlik araştırmacıları tarafından, Microsoft Windows’un Olay günlüklerinde, biri Hizmet Reddi saldırısına neden olmak için yararlanılabilecek iki güvenlik açığı içerdiği ortaya çıktı.

Varonis’teki güvenlik analistleri tarafından isimlendirilen güvenlik açıkları aşağıdaki gibidir:-

Ayrıca, bu iki güvenlik açığının esas olarak MS-EVEN’i (EventLog Remoting Protocol) hedef aldığı görülüyor. Bunu yaparak, tehdit aktörleri uzak bir konumdan olay günlüklerine erişebilecekler.

Bu yıl 15 Haziran’da Microsoft, IE (Internet Explorer) desteğini tamamen sonlandırdıklarını resmen duyurdu. Ancak yine de, Windows ekosistemiyle derin bir entegrasyona sahip olduğu için IE ile ilişkili bazı güvenlik ve kararlılık sorunları vardır.

DÖRT

OverLog’un, sabit sürücüsündeki tüm kullanılabilir alanı doldurarak Windows bilgisayarda bir DoS saldırısına neden olabileceğinden şüpheleniliyor.

CVE-2022-37981, OverLog’a atanmıştır ve CVSS puanı 4.3’tür. Microsoft, bu güvenlik açığını gidermek için Ekim Yaması Salı güncellemesi sırasında bu güvenlik açığına bir çözüm getirmiştir. Ancak LogCrusher sorunu henüz çözülmedi, bu nedenle yama yapılmamış durumda.

eleştiri

OpenEventLogW adlı bir Windows API işlevi, kullanıcıların, tanıtıcıda sağlanan bilgilere dayanarak uzak veya yerel bir makinede bir olay günlüğünün tanıtıcısını açmasını sağlar.

İşlevin gerektirdiği iki parametre vardır: –

  • lpUNCSunucuAdı
  • lpSourceName

Yönetici olmayan düşük ayrıcalıklı kullanıcılar, gerekli ayrıcalıklara sahip olmadıkları için varsayılan olarak diğer makinelerin olay günlüklerine erişemezler. Bu kuralın bir istisnası vardır, o da eski “Internet Explorer” günlük dosyalarına gelince.

IE’nin güvenlik tanımlayıcısı, tarayıcıda varsayılan olarak ayarlanan izinleri geçersiz kılar ve kendi güvenlik profilini korur.

Bir olay günlüğü, bir MS-EVEN işlevi olan ElfClearELFW yardımıyla uzaktan temizlenebilir ve yedeklenebilir. Ve bu fonksiyon ayrıca iki parametre içerir ve aşağıda bunlardan bahsettik: –

Ancak, ElfClearELFW işlevinde, girişi doğru şekilde doğrulamamasına neden olan bir hata var. LogCrusher saldırı akışını anlamak için bu iki fonksiyonu dikkate almak gerekir.

Hizmetin performansını kesintiye uğratmak ve/veya azaltmak mümkündür, ancak saldırgan hizmetin tamamen durmasına neden olamaz.

Saldırgan, eski Internet Explorer günlüğüne yönelik bir tanıtıcı edinerek bu bilgileri, saldırılarında aşağıdaki yasa dışı etkinlikleri gerçekleştirmek üzere kullanmak üzere bir kaldıraç mekanizması kurmak için kullanabilir:-

  • Olay Günlüğünü Kilitle
  • DoS koşulunu başlat

Bu kusurun bir sonucu olarak, başka bir kusur ile birleştirerek log yedekleme fonksiyonunun başarısız olmasına neden olmak mümkündür. Bu tekniği kullanarak, tehdit aktörü hedeflenen ana bilgisayarda yazılabilir bir klasör oluşturabilecek ve sürücü dolana kadar rastgele günlükleri art arda yedekleyebilecek.

Potansiyel olarak savunmasız sistemler için mevcut olan bir Microsoft yaması, bunlara mümkün olan en kısa sürede uygulanmalı ve herhangi bir şüpheli etkinlik dikkatle izlenmelidir.

Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin



Source link