Der Sicherheitsanbieter 0patch hat sich einer Zero-Day-Lücke in Windows angenommen, die Microsoft nicht als Sicherheitsproblem einstuft. Die Schwachstelle erlaubt es einem Angreifer, auch ohne höhere Benutzerrechte den Dienst für das Windows-Ereignisprotokoll abstürzen zu lassen. Windows-Systeme verlieren so mindestens vorrübergehend die Möglichkeit, Sicherheitsvorfälle zu erfassen und beispielsweise im Rahmen einer Intrusion Detection zu erkennen.
Entdeckt wurde die Anfälligkeit von einem Sicherheitsforscher namens Florian. Inzwischen steht auf GitHub unter der Bezeichnung „EventLogCrasher“ auch Beispielcode für einen Exploit zur Verfügung. In einem Beitrag auf X teilte der Forscher bereits in der vergangenen Woche mit, dass der Fehler laut Microsoft Security and Response Center „nicht die Voraussetzungen für eine Bearbeitung“ erfülle. Microsoft habe ihm auch erlaubt, seinen Proof-of-Concept zu veröffentlichen.
Laut 0Patch sind von einem Absturz des Ereignisprotokoll-Diensts auch die Dienste für Security Information and Event Management (SIEM) und Intrusion Detection System (IDS) betroffen. Sie erhielten in dem Fall keine neuen Meldungen und könnte bei Angriffen auch keine neue Sicherheitswarnungen ausgeben.
Zwar würden die Systemereignisse im Arbeitsspeicher hinterlegt und nach einem Neustart an das Ereignisprotokoll übergeben, falls ein System aber durch einen Blue-Screen-Error heruntergefahren oder die Warteschlange für Systemereignisse überfüllt sei, gingen die fraglichen Einträge unwiderruflich verloren, so 0patch weiter.
„Bisher haben wir herausgefunden, dass ein Angreifer mit niedrigen Privilegien den Ereignisprotokolldienst sowohl auf dem lokalen Rechner als auch auf jedem anderen Windows-Computer im Netzwerk, an dem er sich authentifizieren kann, zum Absturz bringen kann. In einer Windows-Domäne sind das alle Domänencomputer einschließlich der Domänencontroller“, sagte Mitja Kolsek, Mitbegründer von 0patch.
„Während der Ausfallzeit des Dienstes sind alle Erkennungsmechanismen, die Windows-Protokolle erfassen, blind, so dass der Angreifer die Zeit für weitere Angriffe nutzen kann – Passwort-Brute-Forcing, Ausnutzung von Remote-Diensten mit unzuverlässigen Exploits, die diese oft zum Absturz bringen – ohne bemerkt zu werden.“
Der inoffizielle Micropatch steht nun für Windows 7, Windows 10 und Windows 11 sowie für Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019 und 2022 zur Verfügung. 0patch bietet sein „Update“ nach vorheriger Registrierung kostenlos an.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…