امکان تخریب از راه دور برنامه‌های Event Log و اجرای حمله DoS بوسیله باگ Event Log ویندوز

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir event log bugs 1
اخیرا توسط محققان امنیتی در Varonis Threat Labs فاش شد که مایکروسافت ویندوز دارای دو آسیب‌پذیری در Event Log‌ها است که یکی از آنها می‌تواند به‌منظور ایجاد حمله Denial of Service مورد سواستفاده قرار گیرد.

هر دو آسیب‌پذیری که توسط تحلیلگران امنیتی در Varonis نامگذاری شده است به شرح زیر است :

LogCrusher
OverLog (CVE-2022-37981)

علاوه بر این، به نظر می‌رسد که این دو آسیب‌پذیری عمدتا MS-EVEN (پروتکل از راه دور EventLog) هدف قرار‌گرفته‌اند. با انجام این کار، عوامل تهدید قادر خواهند بود از یک مکان راه دور به Event Log‌ها دسترسی داشته باشند.

امسال در ١۵ ژوئن، مایکروسافت رسما اعلام کرد که به طور کامل به پشتیبانی از IE (Internet Explorer) پایان داده است. اما، همچنان، برخی از مسائل امنیتی و پایداری مرتبط با اینترنت اکسپلورر وجود دارد، زیرا دارای یکپارچگی عمیقی با اکوسیستم ویندوز است.

گمان می‌رود که OverLog ممکن است با پر کردن تمام فضای موجود روی هارد دیسک کامپیوتر ویندوز، باعث حمله DoS شود.

آسیب‌پذیری CVE-2022-37981 به OverLog اختصاص داده شده است و امتیاز CVSS آن 4.3 است. مایکروسافت برای رفع این آسیب‌پذیری در بروزرسانی اکتبر Patch سه‌شنبه، راه‌حلی برای رفع این آسیب‌پذیری ارائه کرد. با‌این‌حال، مشکل LogCrusher هنوز برطرف نشده است، بنابراین بدون اصلاح باقی مانده است.

نقد و بررسی
یک فانکشن Windows API به نام OpenEventLogW به‌کاربران امکان می‌دهد تا دسته Event Log را بر اساس اطلاعات ارائه‌شده در دسته، روی یک دستگاه راه دور یا محلی باز کنند.

دو پارامتر مورد نیاز برای فانکشن وجود دارد :

lpUNCSserverName
lpSourceName

کاربران با اختیار پایین غیر ادمین، به‌طور پیش‌فرض، به Event Log‌های دستگاه‌های دیگر دسترسی ندارند، زیرا از اختیارات لازم برخوردار نیستند. یک استثنا برای این قاعده وجود دارد، و آن زمانی است که موضوع به فایل‌های لاگ قدیمی "Internet Explorer" می‌رسد.

توصیفگر امنیتی IE مجوز‌های تنظیم شده به طور پیش‌فرض در مرورگر را لغو می‌کند و پروفایل امنیتی خود را حفظ می‌کند.

takian.ir event log bugs 2

با کمک ElfClearELFW، که یک فانکشن MS-EVEN است، می‌توان Event Log را از راه دور پاک کرد و از آن نسخه پشتیبان تهیه نمود. و این فانکشن نیز شامل دو پارامتر است که در زیر به آنها اشاره کرده‌ایم :

LogHandle
BackupFileName

با‌این‌حال، یک اشکال در فانکشن ElfClearELFW وجود دارد که باعث می‌شود نتواند ورودی را به‌درستی تایید کند. برای درک جریان حمله LogCrusher، لازم است این دو عملکرد را در نظر بگیرید.

takian.ir event log bugs 3

ممکن است باعث اختلال و/یا کاهش عملکرد سرویس شود، اما مهاجم نمی‌تواند به طور کامل باعث توقف کار سرویس شود.

با به‌دست آوردن دسته‌ای برای لاگ مرور اینترنت اکسپلورر قدیمی، مهاجم می‌تواند از این اطلاعات برای راه‌اندازی مکانیزم اهرمی برای حملات خود برای انجام فعالیت‌های غیرقانونی زیر استفاده کند :

کرش و خراب کردن Event Log
آغاز شرایط حمله DoS

در نتیجه این نقص، ممکن است عملکرد log backup با ترکیب آن با نقص دیگری از کار بیفتد. با استفاده از این تکنیک، عامل تهدید می‌تواند یک فولدر قابل نوشتن در هاست مورد نظر ایجاد کند و بارها از لاگ‌های دلخواه در آن نسخه پشتیبان تهیه کند تا زمانی که درایو پر شود.

یک پچ از مایکروسافت برای سیستم‌های بالقوه آسیب‌پذیر در دسترس است و باید در اسرع وقت روی سیستم‌ها اعمال شود و هرگونه فعالیت مشکوک باید به دقت بررسی گردد.

برچسب ها: BackupFileName, LogHandle, ElfClearELFW, lpSourceName, lpUNCSserverName, Windows API, OpenEventLogW, MS-EVEN, CVE-2022-37981, OverLog, LogCrusher, DoS Attack, Event Log, فانکشن, اینترنت اکسپلورر, Internet Explorer, Denial of Service, DoS, آسیب‌پذیری, windows, Vulnerability, ویندوز, دفاع سایبری, Cyber Security, حملات سایبری, جاسوسی سایبری, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ