Los investigadores de ciberseguridad han revelado detalles sobre un par de vulnerabilidades en Microsoft Windows, una de las cuales podría explotarse para provocar una denegación de servicio (DoS).
Las hazañas, apodadas trituradora de troncos y OverLog por Varonis, apunte al Protocolo EventLog Remoting (MS-EVEN), que permite el acceso remoto a los registros de eventos.
Mientras que el primero permite que «cualquier usuario de dominio bloquee de forma remota la aplicación de registro de eventos de cualquier máquina con Windows», OverLog provoca un DoS al «llenar el espacio del disco duro de cualquier máquina con Windows en el dominio», Dolev Taler dijo en un informe compartido con The Hacker News.
A OverLog se le asignó el identificador CVE CVE-2022-37981 (puntuación CVSS: 4,3) y Microsoft lo abordó como parte de sus actualizaciones del martes de parches de octubre. LogCrusher, sin embargo, sigue sin resolverse.
«El rendimiento puede interrumpirse y/o reducirse, pero el atacante no puede negar el servicio por completo», dijo el gigante tecnológico en un aviso sobre la falla publicado a principios de este mes.
Los problemas, según Varonis, se basan en el hecho de que un atacante puede obtener un identificador para el registro heredado de Internet Explorer, preparando efectivamente el escenario para ataques que aprovechan el identificador para bloquear el registro de eventos en la máquina de la víctima e incluso inducir una condición DoS. .
Esto se logra combinándolo con otro defecto en una función de copia de seguridad de registros (BackupEventLogW) para hacer una copia de seguridad repetida de los registros arbitrarios en una carpeta de escritura en el host de destino hasta que se llene el disco duro.
Desde entonces, Microsoft ha corregido la falla de OverLog restringiendo el acceso al registro de eventos de Internet Explorer a los administradores locales, reduciendo así el potencial de uso indebido.
«Si bien esto aborda este conjunto particular de exploits de registro de eventos de Internet Explorer, existe la posibilidad de que otros registros de eventos de aplicaciones accesibles para el usuario se aprovechen de manera similar para los ataques», dijo Taler.