研究人员披露了 Windows 事件日志漏洞:LogCrusher 和 OverLog
网络安全研究人员披露了有关 Microsoft Windows 中两个漏洞的详细信息,其中一个漏洞可被利用导致拒绝服务 (DoS)。 这些漏洞被 Varonis 称为LogCrusher和OverLog,针对的是 EventLog Remoting Protocol ( MS-EVEN ),它可以远程访问事件日志。
前者允许“任何域用户远程使任何 Windows 机器的事件日志应用程序崩溃”,OverLog 通过“填充域中任何 Windows 机器的硬盘空间”来引发 DoS,Dolev Taler在与 The黑客新闻。
OverLog 已被分配 CVE 标识符 CVE-2022-37981(CVSS 分数:4.3),并已被 Microsoft 作为其10 月补丁星期二更新的一部分解决。然而,LogCrusher 仍未解决。
“性能可以中断和/或降低,但攻击者不能完全拒绝服务,”这家科技巨头在本月早些时候发布的漏洞公告中表示。
根据 Varonis 的说法,这些问题的根源在于攻击者可以获得旧 Internet Explorer 日志的句柄,从而有效地为利用该句柄使受害者机器上的事件日志崩溃甚至引发 DoS 条件的攻击奠定了基础.
这是通过将其与日志备份功能 ( BackupEventLogW ) 中的另一个缺陷相结合来实现的,以将任意日志重复备份到目标主机上的可写文件夹,直到硬盘驱动器被填满。
此后,微软通过限制本地管理员访问 Internet Explorer 事件日志来修复 OverLog 漏洞,从而减少了滥用的可能性。
“虽然这解决了这组特定的 Internet Explorer 事件日志漏洞利用,但其他用户可访问的应用程序事件日志仍有可能被类似地用于攻击,”Taler 说。
关于作者
评论0次