Falla Zero-Day en el registro de eventos de Windows

Se ha publicado un parche no oficial gratuito para una nueva falla Zero-Day de Windows denominada EventLogCrasher que permite a los atacantes bloquear de forma remota el servicio de registro de eventos en dispositivos dentro del mismo dominio de Windows.

Esta vulnerabilidad de día cero afecta a todas las versiones de Windows, desde Windows 7 hasta el último Windows 11 y desde Server 2008 R2 hasta Server 2022.

EventLogCrasher fue descubierto y reportado al equipo del Centro de respuesta de seguridad de Microsoft por un investigador de seguridad conocido simplemente como Florian, y Redmond lo etiquetó como que no cumplía con los requisitos de servicio y dijo que es un duplicado de un error de 2022 (Florian también publicó una prueba de concepto de exploit la semana pasada).

Si bien Microsoft no proporcionó más detalles sobre la vulnerabilidad de 2022, la compañía de software Varonis reveló una falla similar denominada LogCrusher (que también está esperando un parche) que puede ser explotada por cualquier usuario de dominio para bloquear de forma remota el servicio de registro de eventos en máquinas con Windows en todo el dominio.

Para explotar el día cero en las configuraciones predeterminadas del Firewall de Windows, los atacantes necesitan conectividad de red con el dispositivo objetivo y credenciales válidas (incluso con privilegios bajos).

Por lo tanto, siempre pueden bloquear el servicio de Registro de eventos localmente y en todas las computadoras con Windows en el mismo dominio de Windows, incluidos los controladores de dominio, lo que les permitirá asegurarse de que su actividad maliciosa ya no se registre en el Registro de eventos de Windows.

Como explica Florian, "El bloqueo ocurre en wevtsvc!VerifyUnicodeString cuando un atacante envía un objeto UNICODE_STRING con formato incorrecto al método ElfrRegisterEventSourceW expuesto por el protocolo de comunicación remota EventLog basado en RPC".

Una vez que el servicio de registro de eventos falla, la gestión de eventos e información de seguridad (SIEM) y los sistemas de detección de intrusiones (IDS) se verán directamente afectados, ya que ya no pueden ingerir nuevos eventos para activar alertas de seguridad.

Afortunadamente, los eventos del sistema y de seguridad están en cola en la memoria y se agregarán a los registros de eventos una vez que el servicio vuelva a estar disponible. Sin embargo, dichos eventos en cola pueden ser irrecuperables si la cola se llena o el sistema atacado se apaga.

"Hasta ahora hemos descubierto que un atacante con pocos privilegios puede bloquear el servicio de registro de eventos tanto en la máquina local como en cualquier otra computadora con Windows en la red en la que pueda autenticarse. En un dominio de Windows, esto significa todas las computadoras del dominio, incluido el dominio. controladores", afirmó el cofundador de 0patch, Mitja Kolsek.

"Durante el tiempo de inactividad del servicio, cualquier mecanismo de detección que absorba los registros de Windows estará ciego, lo que permitirá que el atacante se tome tiempo para realizar más ataques (fuerza bruta de contraseñas, explotación de servicios remotos con exploits poco confiables que a menudo los bloquean, o ejecutar el whoami favorito de cada atacante) sin hacerse notar."

Parches de seguridad no oficiales para los sistemas Windows afectados

El servicio de microparches 0patch lanzó parches no oficiales para las versiones de Windows más afectadas el miércoles, disponibles de forma gratuita hasta que Microsoft publique actualizaciones de seguridad oficiales para solucionar el error.

Fuente: BC

Suscríbete a nuestro Boletín