Sono disponibili patch non ufficiali gratuite per una nuova falla zero-day di Windows denominata EventLogCrasher. Questa consente agli aggressori di bloccare in remoto il servizio Registro eventi su dispositivi all'interno dello stesso dominio. Questa vulnerabilità zero-day colpisce tutte le versioni di Windows, da Windows 7 fino all'ultimo Windows 11 e da Server 2008 R2 a Server 2022. EventLogCrasher è stato scoperto e segnalato al team del Microsoft Security Response Center da un ricercatore di sicurezza noto come Florian. Redmond che lo ha etichettato come non conforme ai requisiti di manutenzione e affermando che è un duplicato del bug del 2022. Microsoft non ha fornito ulteriori dettagli sulla vulnerabilità del 2022. Tuttavia, la società di software Varonis ha rivelato un difetto simile denominato LogCrusher che può essere sfruttato da qualsiasi utente del dominio per mandare in crash da remoto il servizio Event Log su dispositivi Windows.
https://twitter.com/floesen_/status/1749809453367779758
Windows: come funziona l’attacco per falla EventLogCrasher
Per sfruttare lo zero-day nelle configurazioni predefinite di Windows Firewall, gli aggressori necessitano di connettività di rete al dispositivo di destinazione e di credenziali valide. Pertanto, questi possono sempre bloccare il servizio Registro eventi localmente e su tutti i computer nello stesso dominio Windows, inclusi i controller di dominio. Ciò garantisce che la loro attività dannosa non venga più registrata nel Registro eventi. Come spiega Florian: “L'arresto anomalo si verifica in wevtsvc!VerifyUnicodeString quando un utente malintenzionato invia un oggetto UNICODE_STRING non valido al metodo ElfrRegisterEventSourceW esposto dal protocollo EventLog Remoting basato su RPC”. Una volta che il servizio Registro eventi si arresta in modo anomalo, la gestione delle informazioni e degli eventi di sicurezza (SIEM) e i sistemi di rilevamento delle intrusioni (IDS) subiranno un impatto diretto. Questi non potranno più acquisire nuovi eventi per attivare avvisi di sicurezza.
Fortunatamente, gli eventi di sicurezza e di sistema vengono salvati in memoria e vengono aggiunti ai registri eventi quando il servizio è nuovamente disponibile. Tuttavia, tali eventi in coda potrebbero essere irrecuperabili se la coda si satura o il sistema attaccato si spegne tramite spegnimento o a causa di un errore con schermata blu. Mercoledì il servizio di micropatching 0patch ha rilasciato patch non ufficiali per le versioni interessate. Queste sono disponibili gratuitamente fino a quando Microsoft non rilascia gli aggiornamenti di sicurezza ufficiali per risolvere il bug zero-day. Per installare le patch necessarie sul proprio sistema, bisogna creare un account 0patch e installare l'agente 0patch sul dispositivo. Una volta avviato l'agente, la micropatch verrà applicata automaticamente senza richiedere il riavvio del sistema. L’unica condizione è che non sia presente una politica di patch personalizzata per bloccare l’installazione.