Nova falha zero-day no Log de Eventos do Windows recebe correções não oficiais
2 de Fevereiro de 2024

Patches não oficiais e gratuitos estão disponíveis para uma nova falha no Windows conhecida como EventLogCrasher que permite aos invasores travar remotamente o serviço de registro de eventos em dispositivos dentro do mesmo domínio do Windows.

Essa vulnerabilidade de zero-day afeta todas as versões do Windows, desde o Windows 7 até o mais recente Windows 11 e do Server 2008 R2 ao Server 2022.

O EventLogCrasher foi descoberto e relatado à equipe do Microsoft Security Response Center por um pesquisador de segurança conhecido apenas como Florian, sendo classificado pelo Redmond como não atendendo aos requisitos de atendimento e sendo uma duplicação do bug de 2022 (Florian também publicou um exploit de conceito comprovado na semana passada).

Embora a Microsoft não tenha fornecido mais detalhes sobre a vulnerabilidade de 2022, a empresa de software Varonis divulgou um problema semelhante chamado LogCrusher (que ainda aguarda um patch) que pode ser explorado por qualquer usuário do domínio para travar remotamente o serviço de registro de eventos em máquinas Windows em todo o domínio.

Para explorar o zero-day nas configurações padrão do Windows Firewall, os invasores necessitam de conectividade de rede com o dispositivo alvo e de credenciais válidas (mesmo com privilégios baixos).

Portanto, eles podem sempre travar o serviço de registro de eventos localmente e em todos os computadores Windows no mesmo domínio do Windows, incluindo controladores de domínio, o que permitirá que garantam que suas atividades maliciosas não sejam mais registradas no log de eventos do Windows.

Como Florian explica, "A travamento ocorre em wevtsvc!VerifyUnicodeString quando um invasor envia um objeto UNICODE_STRING malformado ao método ElfrRegisterEventSourceW exposto pelo protocolo de remoção de logs de eventos baseado em RPC."

Uma vez que o serviço de registro de eventos trave, os sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) e os Sistemas de Detecção de Intrusão (IDS) serão diretamente impactados, pois não poderão mais ingerir novos eventos para acionar alertas de segurança.

Felizmente, eventos de segurança e de sistema são colocados em fila na memória e serão adicionados aos registros de eventos depois que o serviço de registro de eventos voltar a ficar disponível.

No entanto, tais eventos enfileirados podem ser irrecuperáveis se a fila estiver cheia ou o sistema atacado for desligado por corte de energia ou devido a um erro de tela azul.

"Ate agora descobrimos que um invasor com privilégios baixos pode travar o serviço de registro de eventos tanto na máquina local quanto em qualquer outro computador Windows na rede à qual pode se autenticar.

Em um domínio Windows, isso significa todos os computadores do domínio, incluindo controladores de domínio", disse Mitja Kolsek, cofundador da 0patch.

"Durante o tempo de inatividade do serviço, qualquer mecanismo de detecção que ingerir registros do Windows ficará cego, permitindo que o invasor ganhe tempo para mais ataques - forçar senhas, explorar serviços remotos com exploits não confiáveis que muitas vezes os travam, ou rodar o favorito de todo invasor o whoami - sem ser notado."

O serviço de micropatching 0patch lançou patches não oficiais na quarta-feira para a maioria das versões do Windows afetadas, disponíveis gratuitamente até a Microsoft lançar atualizações oficiais de segurança para corrigir o bug de zero-day:

Windows 11 v22H2, v23H2 - totalmente atualizado
Windows 11 v21H2 - totalmente atualizado
Windows 10 v22H2 - totalmente atualizado
Windows 10 v21H2 - totalmente atualizado
Windows 10 v21H1 - totalmente atualizado
Windows 10 v20H2 - totalmente atualizado
Windows 10 v2004 - totalmente atualizado
Windows 10 v1909 - totalmente atualizado
Windows 10 v1809 - totalmente atualizado
Windows 10 v1803 - totalmente atualizado
Windows 7 - sem ESU, ESU1, ESU2, ESU3
Windows Server 2022 - totalmente atualizado
Windows Server 2019 - totalmente atualizado
Windows Server 2016 - totalmente atualizado
Windows Server 2012 - sem ESU, ESU1
Windows Server 2012 R2 - sem ESU, ESU1
Windows Server 2008 R2 - sem ESU, ESU1, ESU2, ESU3, ESU4


"Visto que se trata de uma vulnerabilidade de '0day' sem solução oficial disponível do fornecedor, estamos disponibilizando nossos micropatches gratuitamente até que essa solução esteja disponível", disse Kolsek.

Para instalar os patches necessários no seu sistema Windows, crie uma conta 0patch e instale o agente 0patch no dispositivo.

Uma vez que você inicie o agente, o micropatch será aplicado automaticamente sem a necessidade de reiniciar o sistema, desde que não haja uma política de patches personalizada em vigor para bloqueá-lo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...