Yeni Windows sıfır gün kusuru için ücretsiz resmi olmayan yamalar mevcut Olay Günlüğü Kırıcı Bu, saldırganların aynı Windows etki alanındaki aygıtlarda Olay Günlüğü hizmetini uzaktan çökertmesine olanak tanır.
Bu sıfır gün güvenlik açığı, Windows 7’den en son Windows 11’e ve Server 2008 R2’den Server 2022’ye kadar tüm Windows sürümlerini etkilemektedir.
EventLogCrasher, bilinen bir güvenlik araştırmacısı tarafından keşfedildi ve Microsoft Güvenlik Yanıt Merkezi ekibine bildirildi. FlorianRedmond’la birlikte servis gereksinimlerini karşılamıyor olarak etiketlemek ve bunun 2022’deki hatanın bir kopyası olduğunu söylüyor (Florian ayrıca geçen hafta bir kavram kanıtlama istismarı yayınladı).
Microsoft 2022’deki güvenlik açığıyla ilgili daha fazla ayrıntı sunmasa da yazılım şirketi Varonis, herhangi bir etki alanı kullanıcısı tarafından Windows makinelerindeki Olay Günlüğü hizmetini uzaktan çökertmek için kullanılabilecek LogCrusher adlı benzer bir kusuru (yine hala bir düzeltme eki bekliyor) açıkladı. ihtisas.
Varsayılan Windows Güvenlik Duvarı yapılandırmalarında sıfır günden yararlanmak için saldırganların hedef cihaza ağ bağlantısına ve geçerli kimlik bilgilerine (düşük ayrıcalıklarla bile) ihtiyacı vardır.
Bu nedenle, Olay Günlüğü hizmetini yerel olarak ve etki alanı denetleyicileri de dahil olmak üzere aynı Windows etki alanındaki tüm Windows bilgisayarlarda her zaman çökertebilirler; bu da kötü amaçlı etkinliklerinin artık Windows Olay Günlüğüne kaydedilmeyeceğinden emin olmalarını sağlar.
Florian’ın açıkladığı gibi, “Kaza şu anda meydana geliyor: wevtsvc!VerifyUnicodeString Bir saldırgan hatalı biçimlendirilmiş bir e-posta gönderdiğinde UNICODE_STRING itiraz ElfrRegisterEventSourceW RPC tabanlı EventLog Uzaktan İletişim Protokolü tarafından açığa çıkan yöntem.”
Olay Günlüğü hizmeti çöktüğünde, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve İzinsiz Giriş Tespit Sistemleri (IDS), artık güvenlik uyarılarını tetiklemek için yeni olayları alamadığından doğrudan etkilenecektir.
Şans eseri, güvenlik ve sistem olayları bellekte sıralanmıştır ve Olay Günlüğü hizmeti tekrar kullanılabilir hale geldikten sonra olay günlüklerine eklenecektir. Ancak kuyruğun dolması veya saldırıya uğrayan sistemin kapanma nedeniyle veya mavi ekran hatası nedeniyle kapanması durumunda bu tür sıraya alınmış olaylar kurtarılamaz hale gelebilir.
“Şu ana kadar düşük ayrıcalıklı bir saldırganın hem yerel makinede hem de kimlik doğrulaması yapabileceği ağdaki herhangi bir Windows bilgisayarında Olay Günlüğü hizmetini çökertebileceğini keşfettik. Bir Windows etki alanında bu, etki alanı dahil tüm etki alanı bilgisayarları anlamına gelir kontrolörler,” dedi 0patch kurucu ortağı Mitja Kolsek.
“Hizmet kesintisi sırasında, Windows günlüklerini alan tüm tespit mekanizmaları kör olacak ve saldırganın daha fazla saldırı (şifre kaba kuvvet kullanımı, genellikle onları çökerten güvenilmez istismarlarla uzak hizmetlerden yararlanma veya her saldırganın en sevdiği whoami’yi çalıştırma) için zaman almasına olanak tanıyacak. fark ediliyor.”
Etkilenen Windows sistemleri için resmi olmayan güvenlik yamaları
0patch mikro yama hizmeti, Çarşamba günü etkilenen Windows sürümlerinin çoğu için resmi olmayan yamalar yayınladı; Microsoft, sıfır gün hatasını gidermek için resmi güvenlik güncellemeleri yayınlayana kadar ücretsiz olarak kullanılabilir:
- Windows 11 v22H2, v23H2 – tamamen güncellendi
- Windows 11 v21H2 – tamamen güncellendi
- Windows 10 v22H2 – tamamen güncellendi
- Windows 10 v21H2 – tamamen güncellendi
- Windows 10 v21H1 – tamamen güncellendi
- Windows 10 v20H2 – tamamen güncellendi
- Windows 10 v2004 – tamamen güncellendi
- Windows 10 v1909 – tamamen güncellendi
- Windows 10 v1809 – tamamen güncellendi
- Windows 10 v1803 – tamamen güncellendi
- Windows 7 – ESU, ESU1, ESU2, ESU3 yok
- Windows Server 2022 – tamamen güncellendi
- Windows Server 2019 – tamamen güncellendi
- Windows Server 2016 – tamamen güncellendi
- Windows Server 2012 – ESU yok, ESU1
- Windows Server 2012 R2 – ESU yok, ESU1
- Windows Server 2008 R2 – ESU, ESU1, ESU2, ESU3, ESU4 yok
Kolsek, “Bu, resmi bir satıcı düzeltmesi bulunmayan ‘0 günlük’ bir güvenlik açığı olduğundan, bu tür bir düzeltme mevcut olana kadar mikro yamalarımızı ücretsiz olarak sağlıyoruz” dedi.
Windows sisteminize gerekli yamaları yüklemek için bir 0patch hesabı oluşturun ve 0patch aracısını cihaza yükleyin.
Aracıyı başlattığınızda, mikro yama, onu engelleyecek özel bir yama politikası olmaması koşuluyla, sistemin yeniden başlatılmasını gerektirmeden otomatik olarak uygulanacaktır.