Investigadores detallan las vulnerabilidades del registro de eventos de Windows: LogCrusher y OverLog

Los investigadores de seguridad cibernética revelaron detalles sobre un par de vulnerabilidades en Microsoft Windows, una de las cuales, podría explotarse para provocar una denegación de servicio (DoS).

Los exploits, denominados LogCrusher y OverLog por Varonis, apuntan al Protocolo de comunicación remota EventLog (MS-EVEN), que permite el acceso remoto a los registros de eventos.

Mientras que el primero permite que «cualquier usuario de dominio bloquee de forma remota la aplicación de registro de eventos de cualquier máquina con Windows. OverLog provoca un DoS al llenar el espacio del disco duro de cualquier máquina con Windows en el dominio», dijo Dolev Taler.

A OverLog se le asignó el identificador CVE-2022-37981 (puntuación CVSS: 4.3) y Microsoft lo abordó como parte de sus actualizaciones del martes de parches de octubre. LogCrusher, sin embargo, sigue sin resolverse.

Los problemas, según Varonis, se basan en el hecho de que un atacante puede obtener un identificador para el registro heredado de Internet Explorer, preparando de forma efectiva el escenario para ataques que aprovechan el identificador para bloquear el registro de eventos en la máquina de la víctima e incluso inducir una condición DoS.

Esto se logra combinándolo con otra falla en una función de respaldo de registros (BackupEventLogW) para respaldar repetidamente registros de arbitrarios en una carpeta de escritura en el host de destino hasta que se llene el disco duro.

Desde entonces, Microsoft corrigió la falla de OverLg restringiendo el acceso al registro de eventos de Internet Explorer a los administradores locales, reduciendo así el potencial de uso indebido.