Windows Olay Günlüğü Hataları, Bilgisayar Korsanlarının DOS Gerçekleştirmesine Ve Uzaktan Kilitlenen Olay Günlüğü Uygulamalarına İzin Veriyor
Yakın zamanda Varonis Threat Labs'deki güvenlik araştırmacıları tarafından Microsoft Windows'un Olay günlüklerinde biri Hizmet Reddi saldırısına neden olmak için yararlanılabilecek iki güvenlik açığı içerdiği ortaya çıktı.
Varonis'teki güvenlik analistleri tarafından adlandırılan güvenlik açıkları çifti aşağıdaki gibidir:
- LogCrusher
- OverLog (CVE-2022-37981)
Dahası, bu iki güvenlik açığının esas olarak MS-EVEN'ı (EventLog Uzaktan Erişim Protokolü) hedef aldığı görülmektedir. Bunu yaparak, tehdit aktörleri olay günlüklerine uzak bir konumdan erişebilir.
Bu yıl 15 Haziran'da Microsoft, IE (Internet Explorer) desteğini tamamen sonlandırdıklarını resmen açıkladı. Ancak, yine de, IE ile ilişkili bazı güvenlik ve kararlılık sorunları vardır, çünkü Windows ekosistemiyle derin bir entegrasyonu vardır.
OverLog'un, sabit sürücüsündeki kullanılabilir alanın tamamını doldurarak Windows bilgisayarda bir DoS saldırısına neden olabileceğinden şüphelenilmektedir.
CVE-2022-37981, OverLog'a atanmıştır ve CVSS puanı 4.3'tür. Microsoft, bu güvenlik açığını gidermek için Salı günü Ekim Yaması güncelleştirmesi sırasında bu güvenlik açığına yönelik bir çözüm getirmiştir. Ancak, LogCrusher sorunu henüz çözülmedi, bu yüzden yamasız kalır.
OpenEventLogW adlı bir Windows API işlevi, kullanıcıların tanıtıcıda sağlanan bilgilere dayanarak uzak veya yerel bir makinedeki bir olay günlüğünün tanıtıcısını açmasını sağlar.
İşlev için gerekli olan iki parametre vardır:
- lpUNCServerName
- lpSourceName
Yönetici düşük ayrıcalıklı olmayan kullanıcılar, varsayılan olarak, gerekli ayrıcalıklara sahip olmadıkları için diğer makinelerin olay günlüklerine erişemezler. Bu kuralın bir istisnası vardır ve bu, eski "Internet Explorer" günlük dosyalarına gelincedir.
IE'nin güvenlik tanımlayıcısı, tarayıcıda varsayılan olarak ayarlanan izinleri geçersiz kılar ve kendi güvenlik profilini korur.
Bir olay günlüğü, bir MS-EVEN işlevi olan ElfClearELFW'nin yardımıyla uzaktan temizlenebilir ve yedeklenebilir. Ve bu işlev aynı zamanda iki parametre içerir ve burada aşağıda bunlardan bahsettik:
- LogHandle
- BackupFileName
Ancak, ElfClearELFW işlevinde girişi düzgün bir şekilde doğrulayamamasına neden olan bir hata vardır. LogCrusher saldırı akışını anlamak için bu iki işlevi dikkate almak gerekir.
Hizmetin performansını kesintiye uğratmak ve/veya azaltmak mümkündür, ancak saldırgan hizmetin çalışmayı durdurmasına tamamen neden olamaz.
Saldırgan, eski Internet Explorer günlüğüne bir tanıtıcı edinerek, bu bilgileri kullanarak aşağıdaki yasa dışı etkinlikleri gerçekleştirmek üzere saldırılarında kullanılacak bir kaldıraç mekanizması kurabilir:
- Olay Günlüğünü Çökertme
- DoS Koşulunu Başlatma
Bu kusurun bir sonucu olarak, günlük yedekleme işlevini başka bir kusurla birleştirerek başarısız olmasına neden olmak mümkündür. Bu tekniği kullanarak, tehdit aktörü hedeflenen ana bilgisayarda yazılabilir bir klasör oluşturabilir ve sürücü dolana kadar rasgele günlükleri tekrar tekrar yedekleyebilir.
Potansiyel olarak savunmasız sistemler için mevcut olan Microsoft'un bir yaması, mümkün olan en kısa sürede onlara uygulanmalı ve şüpheli etkinlikler dikkatle izlenmelidir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News