Pesquisadores da Varonis divulgaram a descoberta de vulnerabilidades no sistema operacional Windows, da Microsoft, ligadas ao Internet Explorer, que estão sendo chamadas de “Logging Dead”. Embora a fabricante tenha já publicado um patch parcial para uma das vulnerabilidades descobertas, ainda há risco de danos.
A Microsoft encerrou o suporte ao Internet Explorer em 15
de junho de 2022. No entanto, a profunda integração do IE ao ecossistema
do Windows afeta a segurança e a estabilidade dos sistemas operacionais mais
atuais. Essa integração está correlacionada ao um log de eventos específico do
navegador, que ainda está presente em todos os sistemas operacionais Microsoft.
Esse log de eventos específico do IE tem um conjunto específico de permissões que permite a criminosos entrarem e explorarem computadores com Windows. São eles:
LogCrusher,
que permite a qualquer usuário travar remotamente o aplicativo Event Log de
qualquer máquina Windows – no mesmo domínio; e OverLog, que causa um ataque
remoto de negação de serviço (DdoS) preenchendo o espaço do disco rígido de
qualquer máquina Windows.
Anatomia dos ataques
No lado técnico, o LogCrusher é um bug lógico no
ElfClearELFW, uma função no MS-EVEN que permite aos administradores limpar e
fazer backup de logs de eventos remotamente. O problema surge porque o
ElfClearELFW não consegue apontar para um arquivo de backup que tenha a palavra
NULL na estrutura de seu nome, o que leva à falha.
O risco com o LogCrusher é que muitos controles de
segurança dependem da operação normal do serviço de logs de eventos. Sem logs,
o controle de segurança fica “cego” e os sistemas conectados também falham.
Isso pode permitir que um invasor use qualquer tipo de exploração ou ataque
normalmente detectado com impunidade, pois os alertas não serão acionados.
Já o bug OverLog permite com que criminosos usem uma
metodologia semelhante, o identificador de log de eventos “internet explorer” e
outra vulnerabilidade na função BackupEventLogW, para causar negação de serviço
permanente para cada máquina Windows.
Respostas e recomendações da Microsoft
A Microsoft optou por não corrigir totalmente a
vulnerabilidade do LogCrusher no Windows 10 (os sistemas operacionais mais
recentes não são afetados).
A partir da atualização do Patch Tuesday de 11 de outubro
de 2022 da Microsoft, a configuração de permissões padrão que permitia o acesso
de usuários não administrativos ao log de eventos do Internet Explorer em
máquinas remotas foi restrita a administradores locais, reduzindo bastante o
potencial de danos.
Embora isso aborde esse conjunto específico de explorações do log de eventos do Internet Explorer, ainda há potencial para que outros logs de eventos de aplicativos acessíveis ao usuário sejam aproveitados de maneira semelhante para ataques.
Dessa forma,
especialistas da Varonis recomendam que todos os sistemas potencialmente
vulneráveis apliquem o patch fornecido pela Microsoft e monitorem qualquer
atividade suspeita.
Nenhum comentário:
Postar um comentário