Microsoft事件日志漏洞威胁某些Windows操作系统

尽管微软在 2022 年 6 月终止了对 IE 的支持，但两个新发现的漏洞凸显了 Internet Explorer (IE) 深度集成到 Windows 生态系统所带来的持续风险无法访问windows installer服务。

由 Varonis Threat Labs 团队发现，这些漏洞影响了一个特定于 IE 的事件日志，该事件日志存在于所有当前 Windows 操作系统（包括但不包括 Windows 11）上无法访问windows installer服务。这些漏洞被研究人员称为 LogCrusher 和 OverLog，已被报告微软于 2022 年 10 月 11 日发布了部分补丁。敦促团队修补系统并监控可疑活动，以减轻安全风险，包括事件日志崩溃和远程拒绝服务 (DoS) 攻击。

漏洞利用影响 Microsoft 事件日志远程协议的功能

在Varonis Threat Labs 的一篇博客文章中，安全研究员 Dolev Taler 写道，LogCrusher 和 OverLog 都使用 Microsoft 事件日志远程协议 (MS-EVEN) 的功能，该协议允许远程操作机器的事件日志无法访问windows installer服务。Windows API 函数 (OpenEventLogW) 允许用户打开本地或远程计算机上特定事件日志的句柄，并且对于可以使用它来读取、写入和清除远程计算机的事件日志的服务非常有用，而无需研究人员补充说，手动连接到机器本身。

展开全文

“默认情况下，低权限、非管理用户无法处理其他机器的事件日志无法访问windows installer服务。一个例外是旧版 Internet Explorer 日志——它存在于每个 Windows 版本中，并且有自己的安全描述符来覆盖默认权限，”博客写道。

LogCrusher 使 Windows 机器的 Event Log 应用程序崩溃

Varonis Threat Labs 表示，LogCrusher 漏洞利用是一个 ElfClearELFW 逻辑错误，允许任何域用户远程崩溃域中任何 Windows 机器的事件日志应用程序无法访问windows installer服务。“不幸的是，ElfClearELFW 函数存在不正确的输入验证错误。它预计 BackupFileName 结构将用零值初始化，但当指向该结构的指针为 NULL 时，进程崩溃，”Dolev 写道。默认情况下，事件日志服务将尝试再重新启动两次，但第三次将保持关闭 24 小时。许多安全控制依赖于事件日志服务的正常运行，而崩溃的影响意味着安全控制可能会变得盲目。OverLog 可用于对 Windows 机器发起远程 DoS 攻击

Taler 表示，OverLog 漏洞 ( CVE-2022-37981 ) 可用于利用 BackupEventLogW 功能并通过填充域中任何 Windows 机器的硬盘空间来发起远程 DoS 攻击无法访问windows installer服务。“这里的错误更简单，虽然它在文档中说备份用户需要具有 SE_BACKUP_NAME 权限，但代码并没有验证它——因此每个用户都可以将文件备份到远程机器，如果他们对那台机器上的文件夹，”他写道。他还提供了以下攻击流示例：

获取受害者机器上 Internet Explorer 事件日志的句柄

将一些任意日志写入事件日志（随机字符串；不同长度）

将日志备份到机器上的可写文件夹（例如：“c:\windows\tasks”）无法访问windows installer服务，每个域用户默认都有写权限

重复备份过程无法访问windows installer服务，直到硬盘驱动器已满且计算机停止运行

受害者机器无法写入“页面文件”（虚拟内存）无法访问windows installer服务，使其无法使用

根据 Taler 的说法，微软选择不完全修复 Windows 10 上的 LogCrusher 漏洞（更新的操作系统不受影响）无法访问windows installer服务。“截至 Microsoft 的 2022 年 10 月 11 日补丁星期二更新，允许非管理员用户访问远程计算机上的 Internet Explorer 事件日志的默认权限设置已仅限于本地管理员，大大降低了潜在的危害，”他添加。然而，Taler 警告说，虽然这解决了这组特定的 IE 事件日志漏洞利用，但其他用户可访问的应用程序事件日志仍有可能被类似地用于攻击。因此，微软应用的补丁应该应用于所有可能存在漏洞的系统，安全团队应该监控可疑活动，他总结道。

Forrester 高级分析师说：“虽然应该修补此漏洞，但我目前不会将这种情况归类为高风险无法访问windows installer服务。它需要一个用户帐户，如果该帐户已被泄露，您可能会遇到更大的问题。此外，已经发布了一个补丁（现在需要一个管理员帐户才能妥协，与上述相同）。这里的建议是安装 Microsoft 补丁并监控异常写入活动。展望未来，这是随着 Internet Explorer 走向灭绝而被发现的众多漏洞之一。”