Pozůstatky Internet Exploreru vystavují systém Windows zneužití

Výzkumníci z laboratoří Varonis Systems Inc. Threat Labs podrobně popsali dvojici zranitelností v operačním systému Windows, které lze stále zneužít, přestože na jednu z nich byla vydána částečná záplata.

Obě zranitelnosti souvisejí s hlubokou integrací prohlížeče Internet Explorer do operačního systému Windows. Podpora IE skončila v červnu, ale integrace specifických funkcí zůstává, proto se také objevily tyto dvě zranitelnosti. V tomto případě zůstává protokol událostí specifický pro Internet Explorer ve všech současných operačních systémech Windows. Protokol událostí specifický pro IE má odlišnou sadu oprávnění, v níž se obě zranitelnosti vyskytují.

První z nich, nazvaná LogCrusher, umožňuje libovolnému uživateli domény vzdáleně shodit aplikaci Protokol událostí libovolného počítače se systémem Windows v doméně. Druhá, OverLog, způsobuje vzdálený útok typu odepření služby tím, že zaplní místo na pevném disku libovolného počítače se systémem Windows. Oba exploity využívají funkce protokolu, který umožňuje vzdálenou manipulaci s protokoly událostí počítače.

Po technické stránce je LogCrusher logickou chybou v ElfClearELFW, funkci v MS-EVEN, která umožňuje správcům vzdáleně vymazat a zálohovat protokoly událostí. Problém vzniká tím, že ElfClearELFW nemá ráda ukazatel na NULL ve struktuře názvu zálohovaného souboru, což způsobuje její pád.

Riziko u LogCrusheru spočívá v tom, že mnoho bezpečnostních kontrol spoléhá na normální fungování služby Protokoly událostí. Bez protokolů se kontrola zabezpečení stává „slepou“ a produkty kontroly zabezpečení, které se ke službě připojují, s ní také havarují. To by mohlo útočníkovi umožnit beztrestně použít jakýkoli typ obvykle detekovaného exploitu nebo útoku, protože se nespustí výstrahy.

OverLog využívá podobnou metodiku – obsluhu protokolu událostí a další zranitelnost ve funkci BackupEventLogW, aby způsobil trvalé odepření služby pro každý počítač se systémem Windows.

Podle výzkumníků společnosti Varonis se Microsoft rozhodl neprovádět úplnou opravu zranitelnosti LogCrunch v systému Windows 10, přičemž částečná oprava byla vydána v rámci posledního záplatovacího úterý. Chyba OverLog řešena zatím nebyla.

Zdroj: siliconANGLE.com