
Des correctifs non officiels gratuits sont disponibles pour une nouvelle faille Windows zero-day baptisée EventLogCrasher qui permet aux attaquants de bloquer à distance le service de journal des événements sur les appareils du même domaine Windows.
Cette vulnérabilité zero-day affecte toutes les versions de Windows, de Windows 7 à la dernière version de Windows 11 et de Server 2008 R2 à Server 2022.
EventLogCrasher a été découvert et signalé à l’équipe du Microsoft Security Response Center par un chercheur en sécurité connu sous le nom de Florian, Redmond l’étiquetant comme ne répondant pas aux exigences de maintenance et affirmant qu’il s’agit d’un doublon du bogue de 2022 (Florian a également publié un exploit de validation de principe la semaine dernière).
Bien que Microsoft n’ait pas fourni plus de détails concernant la vulnérabilité 2022, la société de logiciels Varonis a révélé une faille similaire baptisée LogCrusher (également toujours en attente d’un correctif) qui peut être exploitée par n’importe quel utilisateur du domaine pour bloquer à distance le service de journal des événements sur les machines Windows du domaine.
Pour exploiter le jour zéro dans les configurations de pare-feu Windows par défaut, les attaquants ont besoin d’une connectivité réseau à la machine cible et de toutes les informations d’identification valides (même avec de faibles privilèges).
Par conséquent, ils peuvent toujours bloquer le service de journal des événements localement et sur tous les ordinateurs Windows du même domaine Windows, y compris les contrôleurs de domaine, ce qui leur permettra de s’assurer que leur activité malveillante ne sera plus enregistrée dans le journal des événements Windows.
Comme l’explique Florian, « Le crash se produit dans wevtsvc!VerifyUnicodeString lorsqu’un attaquant envoie un objet UNICODE_STRING mal formé à la méthode ElfrRegisterEventSourceW exposée par le protocole distant EventLog basé sur RPC. »
Une fois que le service de journal des événements tombe en panne, les systèmes de Gestion des Informations et des événements de sécurité (SIEM) et de Détection des intrusions (IDS) seront directement affectés car ils ne pourront plus ingérer de nouveaux événements pour déclencher des alertes de sécurité.
Heureusement, les événements de sécurité et système sont mis en file d’attente en mémoire et seront ajoutés aux journaux des événements une fois que le service de journal des événements sera à nouveau disponible. Cependant, de tels événements en file d’attente peuvent être irrécupérables si la file d’attente est remplie ou si le système attaqué s’arrête via une mise hors tension ou en raison d’une erreur d’écran bleu.
« Jusqu’à présent, nous avons découvert qu’un attaquant à faible privilège peut bloquer le service de journal des événements à la fois sur la machine locale et sur tout autre ordinateur Windows du réseau sur lequel il peut s’authentifier. Dans un domaine Windows, cela signifie tous les ordinateurs du domaine, y compris les contrôleurs de domaine », a déclaré Mitja Kolsek, cofondatrice de 0patch.
« Pendant le temps d’arrêt du service, tous les mécanismes de détection ingérant les journaux Windows seront aveugles, ce qui permettra à l’attaquant de prendre du temps pour d’autres attaques – forcer brutalement le mot de passe, exploiter des services distants avec des exploits peu fiables qui les bloquent souvent, ou exécuter le whoami préféré de chaque attaquant-sans être remarqué. »
Correctifs de sécurité non officiels pour les systèmes Windows affectés
Le service de micropatching 0patch a publié mercredi des correctifs non officiels pour la plupart des versions Windows affectées, disponibles gratuitement jusqu’à ce que Microsoft publie des mises à jour de sécurité officielles pour résoudre le bogue du jour zéro:
- Windows 11 v22H2, v23H2 – entièrement mis à jour
- Windows 11 v21H2-entièrement mis à jour
- Windows 10 v22H2-entièrement mis à jour
- Windows 10 v21H2-entièrement mis à jour
- Windows 10 v21H1-entièrement mis à jour
- Windows 10 v20H2-entièrement mis à jour
- Windows 10 v2004-entièrement mis à jour
- Windows 10 v1909-entièrement mis à jour
- Windows 10 v1809-entièrement mis à jour
- Windows 10 v1803-entièrement mis à jour
- Windows 7 – pas d’EDU, EDU1, EDU2, EDU3
- Windows Server 2022-entièrement mis à jour
- Windows Server 2019-entièrement mis à jour
- Windows Server 2016-entièrement mis à jour
- Windows Server 2012-pas d’unité d’ESU, unité d’ESU 1
- Windows Server 2012 R2-pas d’unité d’ESU, unité d’ESU 1
- Windows Server 2008 R2 – aucun EDU, EDU1, EDU2, EDU3, UES4
« »Puisqu’il s’agit d’une vulnérabilité » 0day « sans correctif officiel du fournisseur disponible, nous fournissons nos micro correctifs gratuitement jusqu’à ce qu’un tel correctif soit disponible », a déclaré Kolsek.
Pour installer les correctifs nécessaires sur votre système Windows, créez un compte 0patch et installez l’agent de correctif sur l’appareil.
Une fois que vous avez lancé l’agent, le micropatch sera appliqué automatiquement sans nécessiter de redémarrage du système, à condition qu’aucune stratégie de correction personnalisée ne soit en place pour le bloquer.