Una vulnerabilidad de día cero que, cuando se activa, podría bloquear el servicio de registro de eventos de Windows en todas las versiones compatibles (y algunas heredadas) de Windows podría significar problemas para los defensores empresariales.
Descubierta por un investigador de seguridad llamado Florian y reportada a Microsoft, la vulnerabilidad aún no ha sido reparada. Mientras tanto, el investigador obtuvo el visto bueno de la empresa para publicar un exploit PoC.
La vulnerabilidad y el PoC
Florian encontró el error mientras trabajaba en un fuzzer, que utilizó para analizar la interfaz Event Log RPC (Llamada a procedimiento remoto) en busca de vulnerabilidades y para detectar una falla en la función ElfrRegisterEventSourceW de la interfaz MS-EVEN RPC.
“Para evitar tener que lidiar con los detalles de bajo nivel del protocolo/interfaz RPC, busqué una API de nivel superior que generara la llamada RPC ElfrRegisterEventSourceW internamente. Así es como encontré la función RegisterEventSourceW , que luego usé en mi PoC”, dijo a Help Net Security.
Aparte de desarrollar una prueba de concepto, no ha investigado mucho más la vulnerabilidad, dijo. “Solo he probado todo unas cuantas veces en una red de dominio que consta de una máquina con Windows 10 y un controlador de dominio con Windows Server 2022. Pude bloquear el servicio de registro de eventos del controlador de dominio como usuario sin privilegios desde la máquina con Windows 10, y eso fue todo”.
Pero compartió detalles de la vulnerabilidad con el director ejecutivo de Acros Security, Mitja Kolsek, y sus colegas, quienes realizaron pruebas adicionales y confirmaron que la PoC de Florian también funciona en Windows 11.
«[El] PoC es notablemente simple: realiza una única llamada a RegisterEventSourceW, que recupera un identificador de un registro de eventos en la computadora especificada», explicó Kolsek.
“Sin embargo, antes de que la solicitud se envíe a la computadora de destino, el PoC modifica su estructura en memoria para confundir al servicio de registro de eventos receptor. Se las arregla para confundirlo tanto que provoca una desreferencia del puntero nulo y bloquea el servicio. El ataque sólo dura un segundo y funciona de forma fiable”.
El servicio de registro de eventos de Windows
Mientras probaba el PoC, el equipo de Acros descubrió que el servicio de registro de eventos de Windows se reiniciará después de dos fallas, pero no después de una tercera.
El equipo descubrió que mientras el servicio está inactivo, los eventos de seguridad y del sistema (pero no los eventos de aplicación) se colocarán en una cola de eventos para que puedan escribirse en los registros cuando se reinicie el servicio.
Pero esto sólo sucederá si un administrador reinicia la computadora «con gracia». «Si el atacante logra provocar una pantalla azul en la computadora donde se almacenan los eventos en la cola de eventos, estos eventos se perderán irremediablemente», señaló Kolsek.
Es posible que esta vulnerabilidad «EventLogCrasher» no permita la ejecución remota de código o la elevación de privilegios, pero puede proporcionar el sigilo muy necesario.
“Durante el tiempo de inactividad del servicio, cualquier mecanismo de detección que absorba los registros de Windows será ciego, lo que permitirá que el atacante se tome tiempo para realizar más ataques (fuerza bruta de contraseñas, explotación de servicios remotos con exploits poco confiables que a menudo los bloquean o ejecutar el whoami favorito de cada atacante ) sin hacerse notar”, señaló Kolsek .
“Sabiendo que los ‘tiempos oscuros’ pueden terminar pronto cuando algún administrador decida reiniciar las máquinas o iniciar el servicio de registro de eventos, un atacante inteligente podría simplemente ejecutar el PoC en un bucle interminable para asegurarse de que tan pronto como se inicie el servicio de registro de eventos vuelve a funcionar, se bloquea de nuevo. Sería realmente difícil para un administrador siquiera saber que se trata de un atacante que bloquea el servicio, ya que todos sabemos que las cosas de la computadora a menudo dejan de funcionar inesperadamente incluso sin asistencia maliciosa”.
Microparches disponibles
La vulnerabilidad se puede explotar fácilmente localmente, pero para que un atacante remoto pueda aprovechar el PoC debe poder conectarse a la computadora de destino a través de SMB y poder autenticarse en ella.
«A menos que pueda permitirse el lujo de desactivar SMB por completo (sin recursos compartidos de red, sin impresoras, sin muchas otras cosas) no creemos que pueda configurar Windows para evitar este ataque de un atacante en su red», afirmó Kolsek.
“Es poco probable que las computadoras Windows con acceso a Internet tengan conectividad SMB abierta a Internet, y menos aún las computadoras Windows en redes locales. Por lo tanto, el atacante ya debe estar en la red local”.
La vulnerabilidad sería útil para un atacante que haya obtenido acceso, por ejemplo, a una estación de trabajo en una red Windows como un usuario regular con pocos privilegios, dijo a Help Net Security.
“Si la empresa utiliza detección de intrusiones basada en registros de eventos de Windows, un atacante que intente iniciar sesión varias veces como otro usuario del dominio podría activar alertas. Deshabilitar el servicio de registro de eventos impediría dicha detección en tiempo real”.
Hasta que Microsoft envíe un parche, los usuarios que quieran tapar este agujero de seguridad pueden implementar un microparche proporcionado por Acros a través de su agente 0patch. Se han proporcionado microparches para varias versiones de Windows 11, 10 y 7, y Windows Server 2022, 2019, 2016, 2021 y 2008.
Fuente y redacción: thehackernews.com