Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một cặp lỗ hổng trong Microsoft Windows, một trong số đó có thể bị khai thác để dẫn đến từ chối dịch vụ (DoS).
Các khai thác, được Varonis đặt tên là LogCrusher và OverLog, nhắm đến Giao thức Remoting EventLog (MS-EVEN), cho phép truy cập từ xa vào nhật ký sự kiện.
Trong khi trước đây cho phép "bất kỳ người dùng miền nào làm hỏng ứng dụng Nhật ký sự kiện từ xa của bất kỳ máy Windows nào", OverLog gây ra DoS bằng cách "lấp đầy dung lượng ổ cứng của bất kỳ máy Windows nào trên miền", Dolev Taler cho biết trong một báo cáo được chia sẻ với The Hacker News.
OverLog đã được gán mã định danh CVE CVE-2022-37981 (điểm CVSS: 4.3) và được Microsoft giải quyết như một phần của bản cập nhật bản vá ngày 3 tháng 10. LogCrusher, tuy nhiên, vẫn chưa được giải quyết.
"Hiệu suất có thể bị gián đoạn và / hoặc giảm, nhưng kẻ tấn công không thể từ chối hoàn toàn dịch vụ," gã khổng lồ công nghệ cho biết trong một lời khuyên cho lỗ hổng được công bố vào đầu tháng này.
Các vấn đề, theo Varonis, ngân hàng về thực tế là kẻ tấn công có thể có được một xử lý nhật ký Internet Explorer cũ, thiết lập hiệu quả giai đoạn cho các cuộc tấn công tận dụng tay cầm để làm sập Nhật ký sự kiện trên máy nạn nhân và thậm chí gây ra một điều kiện DoS.
Điều này đạt được bằng cách kết hợp nó với một lỗ hổng khác trong chức năng sao lưu nhật ký (BackupEventLogW) để liên tục sao lưu các bản ghi tùy ý vào một thư mục có thể ghi trên máy chủ được nhắm mục tiêu cho đến khi ổ cứng được lấp đầy.
Microsoft kể từ đó đã khắc phục lỗ hổng OverLog bằng cách hạn chế quyền truy cập vào Nhật ký sự kiện Internet Explorer đối với quản trị viên cục bộ, do đó làm giảm khả năng lạm dụng.
Taler nói: "Mặc dù điều này giải quyết tập hợp khai thác Nhật ký sự kiện Internet Explorer cụ thể này, nhưng vẫn có khả năng các Nhật ký sự kiện ứng dụng có thể truy cập khác được tận dụng tương tự cho các cuộc tấn công. "