Saldırganların aynı Windows etki alanındaki cihazlarda etkinlik günlük hizmetini uzaktan çökertmesine izin veren yeni bir Windows sıfır gün kusurları için ücretsiz gayri resmi yamalar mevcuttur.
Bu sıfır gün güvenlik açığı, Windows 7'den en son Windows 11'e ve Server 2008 R2'den Sunucu 2022'ye kadar tüm Windows sürümlerini etkiler.
EventLogcrasher, Florian olarak bilinen bir güvenlik araştırmacısı tarafından Microsoft Güvenlik Müdahale Merkezi ekibine keşfedildi ve rapor edildi, Redmond'un servis gereksinimlerini karşılamadığı ve 2022 hatasının bir kopyası olduğunu söyleyerek (Florian da bir kavram kanıtı yayınladı geçen hafta).
Microsoft, 2022 güvenlik açığı hakkında daha fazla ayrıntı vermese de, yazılım şirketi Varonis, herhangi bir etki alanı kullanıcısı tarafından Windows Log hizmetini uzaktan çökmesine neden olabilecek benzer bir kusur olarak adlandırılan (ayrıca bir yama bekliyor) açıkladı. ihtisas.
Varsayılan Windows güvenlik duvarı yapılandırmalarında sıfır gününden yararlanmak için saldırganların hedef cihaza ağ bağlantısına ve geçerli kimlik bilgilerine (düşük ayrıcalıklarla bile) ihtiyacı vardır.
Bu nedenle, olay günlük hizmetini her zaman yerel olarak ve alan denetleyicileri de dahil olmak üzere aynı Windows etki alanındaki tüm Windows bilgisayarlarında çökebilirler, bu da kötü niyetli etkinliklerinin artık Windows olay günlüğüne kaydedilmemesini sağlayacaktır.
Florian'ın açıkladığı gibi, "bir saldırgan, RPC tabanlı EventLog Remoting Protokolü tarafından maruz bırakılan elfrregistereventsourcew yöntemine kötü biçimlendirilmiş bir unicode_string nesnesi gönderdiğinde WEVTSVC'de kaza meydana gelir."
Etkinlik günlüğü hizmeti çöktüğünde, güvenlik bilgileri ve etkinlik yönetimi (SIEM) ve saldırı algılama sistemleri (ID'ler), güvenlik uyarılarını tetiklemek için artık yeni olaylar alamayacağı için doğrudan etkilenecektir.
Neyse ki, güvenlik ve sistem olayları bellekte sıraya alınır ve olay günlük hizmeti tekrar kullanılabilir hale geldikten sonra olay günlüklerine eklenecektir. Bununla birlikte, kuyruk doldurulursa veya saldırıya uğrayan sistem güç açma yoluyla veya mavi ekran hatası nedeniyle kapanırsa, bu tür sıralı olaylar geri alınamaz olabilir.
"Şimdiye kadar, düşük ayrıcalıklı bir saldırganın, hem yerel makinede hem de kimlik doğrulayabilecekleri ağdaki diğer Windows bilgisayarlarında olay günlük hizmetini çökertebileceğini keşfettik. Bir Windows alanında bu, etki alanı dahil tüm alan adı bilgisayarları anlamına gelir. denetleyiciler, "dedi 0patch kurucu ortağı Mitja Kolsek.
"Hizmet kesinti süresi boyunca, pencereleri yutan herhangi bir algılama mekanizması kör olacak ve saldırganın daha fazla saldırı için zaman ayırmasına izin verecek - şifre kaba zorlama, uzaktan hizmetleri sık sık çöken güvenilir olmayan istismarlarla istismar etmek veya her saldırganın favorisi olmadan - her saldırganın favorisi - fark ediliyor. "
0patch MicroPatching Hizmeti, Çarşamba günü en çok etkilenen Windows sürümleri için gayri resmi yamalar yayınladı, Microsoft sıfır gün hatasını ele almak için resmi güvenlik güncellemelerini yayınlayana kadar ücretsiz olarak kullanılabilir:
Kolsek, "Bu, resmi bir satıcı düzeltmesi olmayan bir '0 gün' güvenlik açığı olduğundan, bu tür düzeltme kullanıma gelene kadar mikropatch'larımızı ücretsiz olarak sağlıyoruz." Dedi.
Windows sisteminize gerekli yamaları yüklemek için bir 0patch hesabı oluşturun ve 0patch aracısını cihaza yükleyin.
Aracıyı başlattıktan sonra, MicroPatch, bir sistem yeniden başlatılması gerekmeden otomatik olarak uygulanacaktır, ancak engellemek için özel bir yama politikası olmaması şartıyla.
Microsoft, Windows yazıcı sorunlarını yeni sorun giderici ile düzeltiyor
Avira Antivirus, Windows bilgisayarların önyüklemeden sonra donmasına neden olur
Microsoft Aralık 2023 Patch Salı 34 Kusur, 1 Sıfır Gün
Windows 11 KB5034204 Güncelleme Düzeltiyor Bluetooth Ses Sorunları, 24 Hata
Microsoft: Son güncellemeler Sysprep Windows doğrulama hatalarına neden olur
Kaynak: Bleeping Computer