[ad_1]
Se ha publicado un parche no oficial gratuito para una nueva falla Zero-Day de
Windows denominada EventLogCrasher que permite a los atacantes bloquear de
forma remota el servicio de registro de eventos en dispositivos dentro del
mismo dominio de Windows.
Esta vulnerabilidad de día cero afecta a todas las versiones de Windows, desde
Windows 7 hasta el último Windows 11 y desde Server 2008 R2 hasta Server 2022.
EventLogCrasher fue descubierto y reportado al equipo del Centro de respuesta
de seguridad de Microsoft por un investigador de seguridad conocido
simplemente como
Florian, y Redmond
lo etiquetó como que no cumplía con los requisitos de servicio
y dijo que es un duplicado de un error de 2022 (Florian también publicó una
prueba de concepto de exploit
la semana pasada).
Si bien Microsoft no proporcionó más detalles sobre la vulnerabilidad de 2022,
la compañía de software Varonis reveló una falla similar denominada
LogCrusher
(que también está esperando un parche) que puede ser explotada por cualquier
usuario de dominio para bloquear de forma remota el servicio de registro de
eventos en máquinas con Windows en todo el dominio.
Para explotar el día cero en las configuraciones predeterminadas del Firewall
de Windows, los atacantes necesitan conectividad de red con el dispositivo
objetivo y credenciales válidas (incluso con privilegios bajos).
Por lo tanto, siempre pueden bloquear el servicio de Registro de eventos
localmente y en todas las computadoras con Windows en el mismo dominio de
Windows, incluidos los controladores de dominio, lo que les permitirá
asegurarse de que su actividad maliciosa ya no se registre en el Registro de
eventos de Windows.
Como explica Florian,
«El bloqueo ocurre en wevtsvc!VerifyUnicodeString cuando un atacante envía
un objeto UNICODE_STRING con formato incorrecto al método
ElfrRegisterEventSourceW expuesto por el protocolo de comunicación remota
EventLog basado en RPC».
Una vez que el servicio de registro de eventos falla, la gestión de eventos e
información de seguridad (SIEM) y los sistemas de detección de intrusiones
(IDS) se verán directamente afectados, ya que ya no pueden ingerir nuevos
eventos para activar alertas de seguridad.
Afortunadamente, los eventos del sistema y de seguridad están en cola en la
memoria y se agregarán a los registros de eventos una vez que el servicio
vuelva a estar disponible. Sin embargo, dichos eventos en cola pueden ser
irrecuperables si la cola se llena o el sistema atacado se apaga.
«Hasta ahora hemos descubierto que un atacante con pocos privilegios puede
bloquear el servicio de registro de eventos tanto en la máquina local como
en cualquier otra computadora con Windows en la red en la que pueda
autenticarse. En un dominio de Windows, esto significa todas las
computadoras del dominio, incluido el dominio. controladores», afirmó el cofundador de 0patch, Mitja Kolsek.
«Durante el tiempo de inactividad del servicio, cualquier mecanismo de
detección que absorba los registros de Windows estará ciego, lo que
permitirá que el atacante se tome tiempo para realizar más ataques (fuerza
bruta de contraseñas, explotación de servicios remotos con exploits poco
confiables que a menudo los bloquean, o ejecutar el whoami favorito de cada
atacante) sin hacerse notar.»
Parches de seguridad no oficiales para los sistemas Windows afectados
El servicio de microparches 0patch
lanzó parches no oficiales
para las versiones de Windows más afectadas el miércoles, disponibles de forma
gratuita hasta que Microsoft publique actualizaciones de seguridad oficiales
para solucionar el error.
Fuente:
BC
[ad_2]
Source link
Los comentarios están cerrados.