Llegamos a ustedes gracias a:



Alertas de Seguridad

Las vulnerabilidades del registro de eventos de Microsoft

Amenazan algunos sistemas operativos Windows

[26/10/2022] Un par de vulnerabilidades recién descubiertas han puesto de manifiesto los riesgos que sigue planteando la profunda integración de Internet Explorer (IE) en el ecosistema de Windows, a pesar de que Microsoft dejó de dar soporte a IE en junio del 2022.

Descubiertas por el equipo de Varonis Threat Labs, las vulnerabilidades afectan a un registro de eventos específico de IE que está presente en todos los sistemas operativos actuales de Windows hasta, pero sin incluir, Windows 11. Las vulnerabilidades, denominadas LogCrusher y OverLog por los investigadores, han sido comunicadas a Microsoft, que publicó un parche parcial el 11 de octubre del 2022. Se insta a los equipos a parchear los sistemas y a vigilar la actividad sospechosa para mitigar los riesgos de seguridad, que incluyen el bloqueo del registro de eventos y los ataques remotos de denegación de servicio (DoS).

Los exploits afectan a las funciones del protocolo Event Log Remoting de Microsoft

En una publicación en el blog de Varonis Threat Labs, el investigador de seguridad Dolev Taler escribió que tanto LogCrusher como OverLog utilizan funciones del protocolo Microsoft Event Log Remoting Protocol (MS-EVEN), que permite la manipulación remota de los registros de eventos de una máquina. Una función de la API de Windows (OpenEventLogW) permite a un usuario abrir un asa para un registro de eventos específico en una máquina local o remota, y es útil para los servicios que pueden utilizarla para leer, escribir y borrar registros de eventos para máquinas remotas sin necesidad de conectarse manualmente a las propias máquinas, añadió el investigador.

"Por defecto, los usuarios de bajo privilegio, no administrativos, no pueden obtener un control de los registros de eventos de otras máquinas. La única excepción es el registro heredado de Internet Explorer, que existe en todas las versiones de Windows y tiene su propio descriptor de seguridad que anula los permisos por defecto", se lee en el blog.

LogCrusher bloquea la aplicación de registro de eventos de las máquinas Windows

El exploit LogCrusher es una falla lógica de ElfClearELFW que permite a cualquier usuario del dominio bloquear de forma remota la aplicación Event Log de cualquier máquina Windows en el dominio, declaró Varonis Threat Labs. "Desafortunadamente, la función ElfClearELFW tiene un error de validación de entrada inadecuado. Espera que la estructura BackupFileName se inicialice con un valor cero, pero cuando el puntero a la estructura es NULL, el proceso se bloquea", escribió Dolev. Por defecto, el servicio de Registro de Eventos intentará reiniciarse dos veces más, pero a la tercera vez permanecerá inactivo durante 24 horas. Muchos controles de seguridad dependen del funcionamiento normal del servicio Event Log, y el impacto de la caída significa que los controles de seguridad pueden quedar ciegos, los productos de control de seguridad conectados pueden dejar de funcionar y los atacantes pueden utilizar cualquier tipo de exploit o ataque habitualmente detectado con impunidad, ya que muchas alertas no se activarán, continúa el blog.

OverLog puede utilizarse para lanzar ataques DoS remotos en máquinas Windows

La vulnerabilidad OverLog (CVE-2022-37981) puede utilizarse para explotar la función BackupEventLogW y lanzar un ataque DoS remoto llenando el espacio del disco duro de cualquier máquina Windows en el dominio, afirmó Taler. "La falla en este caso es aún más sencillo, y aunque en la documentación se dice que el usuario de la copia de seguridad debe tener el privilegio SE_BACKUP_NAME, el código no lo valida, por lo que cualquier usuario puede hacer una copia de seguridad de los archivos en una máquina remota si tiene acceso de escritura a una carpeta de esa máquina", escribió.

El parche reduce los riesgos y se insta a los equipos a vigilar la actividad sospechosa

Microsoft ha optado por no solucionar completamente la vulnerabilidad LogCrusher en Windows 10 (los sistemas operativos más recientes no están afectados), según Taler. "A partir de la actualización del martes de parches de Microsoft del 11 de octubre del 2022, la configuración de permisos por defecto que había permitido a los usuarios no administrativos acceder al registro de eventos de Internet Explorer en máquinas remotas se ha restringido a los administradores locales, reduciendo en gran medida el potencial de daño", añadió. Sin embargo, si bien esto resuelve este conjunto particular de explotaciones del registro de eventos de IE, sigue existiendo la posibilidad de que otros registros de eventos de aplicaciones accesibles para el usuario sean aprovechados de manera similar para realizar ataques, advirtió Taler. Por lo tanto, el parche aplicado por Microsoft debería aplicarse a todos los sistemas potencialmente vulnerables y los equipos de seguridad deberían vigilar la actividad sospechosa, concluyó.