Tetiklendiğinde, Windows’un tüm desteklenen (ve bazı eski) sürümlerinde Windows Olay Günlüğü hizmetinin çökmesine neden olabilecek sıfır gün güvenlik açığı, kurumsal savunucular için sorun yaratabilir.
Keşfetti Florian adlı bir güvenlik araştırmacısı tarafından Microsoft’a bildirilen güvenlik açığının henüz yamalanmadığı belirtildi. Bu arada araştırmacı şirketten bir PoC istismarını yayınlamak için izin aldı.
Güvenlik açığı ve PoC
Florian hatayı, Olay Günlüğü RPC (Uzaktan Prosedür Çağrısı) arayüzünü güvenlik açıklarına karşı analiz etmek ve sistemdeki bir çökmeyi tespit etmek için kullandığı fuzzer üzerinde çalışırken buldu. ElfrRegisterEventSourceW MS-EVEN RPC arayüzünün işlevi.
“RPC protokolünün/arayüzünün düşük seviyeli ayrıntılarıyla uğraşmak zorunda kalmamak için, RPC protokolünü/arayüzünü oluşturacak daha yüksek seviyeli bir API aradım. ElfrRegisterEventSourceW RPC çağrısı kaputun altında. Bu şekilde karşılaştım Kayıt OlOlay KaynağıW Daha sonra bunu PoC’mde kullandım,” diye Help Net Security’ye söyledi.
Bir kavram kanıtı geliştirmenin dışında, güvenlik açığına ilişkin daha fazla araştırma yapmadığını söyledi. “Windows 10 makinesi ve Windows Server 2022 etki alanı denetleyicisinden oluşan bir etki alanı ağında her şeyi yalnızca birkaç kez test ettim. Etki alanı denetleyicisinin olay günlüğü hizmetini, Windows 10 makinesindeki ayrıcalıksız bir kullanıcı olarak çökertebildim ve hepsi bu kadar.”
Ancak Acros Security CEO’su Mitja Kolsek ve meslektaşlarıyla güvenlik açığı ayrıntılarını paylaştı; onlar ek testler gerçekleştirdi ve Florian’ın PoC’sinin Windows 11’de de çalıştığını doğruladı.
“[The] PoC son derece basittir: Belirtilen bilgisayardaki bir olay günlüğünün tanıtıcısını alan RegisterEventSourceW’a tek bir çağrı yapar,” diye açıkladı Kolsek.
“Ancak istek hedef bilgisayara gönderilmeden önce PoC, alıcı Olay Günlüğü hizmetini karıştırmak için bellek içi yapısını değiştirir. Boş işaretçi referansının kaldırılmasına neden olacak ve hizmeti çökertecek kadar karıştırmayı başarır. Saldırı yalnızca bir saniye sürüyor ve güvenilir bir şekilde çalışıyor.”
Windows Olay Günlüğü hizmeti
Acros ekibi, PoC’yi test ederken Windows Olay Günlüğü hizmetinin iki çökmeden sonra yeniden başlatılacağını ancak üçüncüden sonra yeniden başlatılmayacağını buldu.
Ekip, hizmet kapalıyken Güvenlik ve Sistem olaylarının (ancak Uygulama olayları değil), hizmet yeniden başlatıldığında günlüklere yazılabilmeleri için bir olay kuyruğuna alınacağını buldu.
Ancak bu yalnızca bir yöneticinin bilgisayarı “zarif bir şekilde” yeniden başlatması durumunda gerçekleşecektir. Kolsek, “Saldırgan, olayların olay kuyruğunda saklandığı bilgisayarda mavi ekran oluşturmayı başarırsa, bu olaylar aslında geri alınamayacak şekilde kaybolacaktır” dedi.
Bu “EventLogCrasher” güvenlik açığı, uzaktan kod yürütülmesine veya ayrıcalık yükselmesine izin vermeyebilir, ancak çok ihtiyaç duyulan gizliliği sağlayabilir.
“Hizmet kesintisi sırasında, Windows günlüklerini alan tüm algılama mekanizmaları kör olacak ve saldırganın daha fazla saldırı için zaman kazanmasına olanak tanıyacak (şifre kaba zorlama, uzak hizmetlerden genellikle onları çökerten güvenilmez güvenlik açıklarından yararlanma veya her saldırganın en sevdiği saldırıları çalıştırma). ben kimim – fark edilmeden,” diye belirtti Kolsek.
“Bazı yöneticiler makineleri yeniden başlatmaya veya Olay Günlüğü hizmetini başlatmaya karar verdiğinde ‘karanlık zamanların’ yakında sona erebileceğini bilen akıllı bir saldırgan, Olay Günlüğü hizmetinin en kısa sürede etkinleştirildiğinden emin olmak için PoC’yi hiç bitmeyen bir döngüde çalıştırabilir. geri geldi, tekrar çöktü. Bir yöneticinin hizmeti çökerten kişinin bir saldırgan olduğunu bilmesi bile gerçekten zor olurdu, çünkü hepimiz bilgisayar işlerinin kötü niyetli bir yardım olmadan bile beklenmedik bir şekilde çalışmayı durdurduğunu biliyoruz.”
Mikro yamalar mevcuttur
Güvenlik açığından yerel olarak kolayca yararlanılabilir, ancak uzaktaki bir saldırganın PoC’den yararlanabilmesi için hedef bilgisayara SMB aracılığıyla bağlanabilmesi ve kimlik doğrulaması yapabilmesi gerekir.
Kolsek, “SMB’yi (ağ paylaşımı yok, yazıcı yok, başka pek çok şey yok) tamamen devre dışı bırakmayı göze alamazsanız, Windows’u ağınızdaki bir saldırgandan gelen bu saldırıyı önleyecek şekilde yapılandırabileceğinize inanmıyoruz” dedi.
“İnternet’e bakan Windows bilgisayarların İnternet’e açık SMB bağlantısına sahip olma olasılığı düşüktür ve yerel ağlardaki Windows bilgisayarların bu durumu daha da azdır. Bu nedenle saldırganın zaten yerel ağda olması gerekiyor.”
Help Net Security’ye, bu güvenlik açığının, örneğin Windows ağındaki bir iş istasyonuna normal düşük ayrıcalıklı bir kullanıcı olarak erişim sağlayan bir saldırgan için yararlı olabileceğini söyledi.
“Şirket Windows olay günlüklerine dayalı izinsiz giriş tespitini kullanıyorsa, bir saldırganın başka bir etki alanı kullanıcısı olarak birden fazla oturum açma girişiminde bulunması uyarıları tetikleyebilir. Olay Günlüğü hizmetinin devre dışı bırakılması bu tür gerçek zamanlı tespitleri engelleyecektir.”
Microsoft bir yama gönderene kadar, bu güvenlik açığını kapatmak isteyen kullanıcılar, 0patch aracısı aracılığıyla Acros tarafından sağlanan bir mikro yama uygulayabilirler. Windows 11, 10 ve 7 ile Windows Server 2022, 2019, 2016, 2021 ve 2008’in çeşitli sürümleri için mikro yamalar sağlanmıştır.