WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Chi tiết các lỗ hổng trong Windows Event Log: LogCrusher OverLog
Các nhà nghiên cứu vừa tiết lộ chi tiết về cặp lỗ hổng trong Microsoft Windows, một trong số đó có thể bị khai thác để tấn công từ chối dịch vụ (DoS).
Lỗi được đặt tên là LogCrusher và OverLog, nhằm vào Giao thức từ xa EventLog (MS-EVEN) và có thể cho phép truy cập từ xa vào nhật ký sự kiện.
OverLog gây ra DoS bằng cách "lấp đầy dung lượng ổ cứng của bất kỳ máy Windows nào trên miền", nhà nghiên cứu Dolev Taler cho biết trong một báo cáo.
OverLog có mã CVE-2022-37981 (điểm CVSS: 4,3) và đã được Microsoft giải quyết trong bản cập nhật tháng 10. LogCrusher chưa được giải quyết.
"Việc truy cập có thể bị gián đoạn hoặc giảm, tuy nhiên hacker không thể tấn công từ chối hoàn toàn dịch vụ", Microsoft cho biết trong khuyến cáo phát hành vào đầu tháng này.
Theo chuyên gia, vấn đề liên quan đến việc hacker có thể xử lý nhật ký trên bản Internet Explorer cũ, tạo tiền đề cho các cuộc tấn công gây lỗi Event Log trên máy nạn nhân và thậm chí gây ra DoS.
Điều này được thực hiện bằng cách kết hợp với một lỗ hổng khác trong chức năng sao lưu nhật ký (BackupEventLogW) để sao lưu liên tục các bản ghi tùy ý vào một thư mục có thể ghi trên máy chủ được nhắm mục tiêu cho đến khi ổ cứng được lấp đầy.
Microsoft đã khắc phục lỗ hổng OverLog bằng cách hạn chế quyền truy cập vào Event Log trên Internet Explorer đối với quản trị viên cục bộ, do đó giảm nguy cơ bị lạm dụng.
Taler cho biết: “Dù việc khai thác Event Log trên Internet Explorer đã được giải quyết, các ứng dụng khác có khả năng truy cập Event Logs vẫn có khả năng thực hiện các cuộc tấn công tương tự”.
Lỗi được đặt tên là LogCrusher và OverLog, nhằm vào Giao thức từ xa EventLog (MS-EVEN) và có thể cho phép truy cập từ xa vào nhật ký sự kiện.
OverLog có mã CVE-2022-37981 (điểm CVSS: 4,3) và đã được Microsoft giải quyết trong bản cập nhật tháng 10. LogCrusher chưa được giải quyết.
"Việc truy cập có thể bị gián đoạn hoặc giảm, tuy nhiên hacker không thể tấn công từ chối hoàn toàn dịch vụ", Microsoft cho biết trong khuyến cáo phát hành vào đầu tháng này.
Theo chuyên gia, vấn đề liên quan đến việc hacker có thể xử lý nhật ký trên bản Internet Explorer cũ, tạo tiền đề cho các cuộc tấn công gây lỗi Event Log trên máy nạn nhân và thậm chí gây ra DoS.
Điều này được thực hiện bằng cách kết hợp với một lỗ hổng khác trong chức năng sao lưu nhật ký (BackupEventLogW) để sao lưu liên tục các bản ghi tùy ý vào một thư mục có thể ghi trên máy chủ được nhắm mục tiêu cho đến khi ổ cứng được lấp đầy.
Microsoft đã khắc phục lỗ hổng OverLog bằng cách hạn chế quyền truy cập vào Event Log trên Internet Explorer đối với quản trị viên cục bộ, do đó giảm nguy cơ bị lạm dụng.
Taler cho biết: “Dù việc khai thác Event Log trên Internet Explorer đã được giải quyết, các ứng dụng khác có khả năng truy cập Event Logs vẫn có khả năng thực hiện các cuộc tấn công tương tự”.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: