Pesquisadores da Varonis divulgaram a descoberta de vulnerabilidades no sistema operacional Windows, da Microsoft, ligadas ao Internet Explorer, que estão sendo chamadas de "Logging Dead". Embora a fabricante tenha já publicado um patch parcial para uma das vulnerabilidades descobertas, ainda há risco de danos, segundo a empresa.
A Microsoft encerrou o suporte ao Internet Explorer em 15 de junho de 2022. No entanto, a profunda integração do IE ao ecossistema do Windows afeta a segurança e a estabilidade dos sistemas operacionais mais atuais. Essa integração está correlacionada ao um log de eventos específico do navegador, que ainda está presente em todos os sistemas operacionais Microsoft.
Esse log de eventos específico do IE tem um conjunto específico de permissões que permite a criminosos entrarem e explorarem computadores com Windows. São eles:
LogCrusher, que permite a qualquer usuário travar remotamente o aplicativo Event Log de qualquer máquina Windows – no mesmo domínio; e
OverLog, que causa um ataque remoto de negação de serviço (DdoS) preenchendo o espaço do disco rígido de qualquer máquina Windows.
Anatomia dos ataques
No lado técnico, o LogCrusher é um bug lógico no ElfClearELFW, uma função no MS-EVEN que permite aos administradores limpar e fazer backup de logs de eventos remotamente. O problema surge porque o ElfClearELFW não consegue apontar para um arquivo de backup que tenha a palavra NULL na estrutura de seu nome, o que leva à falha.
O risco com o LogCrusher é que muitos controles de segurança dependem da operação normal do serviço de logs de eventos. Sem logs, o controle de segurança fica "cego" e os sistemas conectados também falham. Isso pode permitir que um invasor use qualquer tipo de exploração ou ataque normalmente detectado com impunidade, pois os alertas não serão acionados.
Já o bug OverLog permite com que criminosos usem uma metodologia semelhante, o identificador de log de eventos "internet explorer" e outra vulnerabilidade na função BackupEventLogW, para causar negação de serviço permanente para cada máquina Windows.
Respostas e recomendações da Microsoft
A Microsoft optou por não corrigir totalmente a vulnerabilidade do LogCrusher no Windows 10 (os sistemas operacionais mais recentes não são afetados).
A partir da atualização do Patch Tuesday de 11 de outubro de 2022 da Microsoft, a configuração de permissões padrão que permitia o acesso de usuários não administrativos ao log de eventos do Internet Explorer em máquinas remotas foi restrita a administradores locais, reduzindo bastante o potencial de danos.
Embora isso aborde esse conjunto específico de explorações do log de eventos do Internet Explorer, ainda há potencial para que outros logs de eventos de aplicativos acessíveis ao usuário sejam aproveitados de maneira semelhante para ataques.
Dessa forma, especialistas da Varonis recomendam que todos os sistemas potencialmente vulneráveis apliquem o patch fornecido pela Microsoft e monitorem qualquer atividade suspeita.