Vulnerabilidad SO Windows

Vulnerabilidad IE 2022 afecta Windows, aún sin el browser

Investigadores de Varonis divulgaron el descubrimiento de una vulnerabilidad en el SO Windows, de Microsoft, vinculada a Internet Explorer, que están siendo llamada de “Logging Dead”.

Aunque la fabricante ya haya publicado un parche parcial para una de la vulnerabilidad descubierta, todavía existen riesgos de daños.

Vulnerabilidad Logging Dead
Vulnerabilidad Logging Dead

Microsoft cerró el soporte a Internet Explorer el 15 de junio de 2022.

Sin embargo, la profunda integración de IE al ecosistema de Windows afecta la seguridad y la estabilidad de los sistemas operativos más actuales.

Esta integración está correlacionada a un log de eventos específico del navegador, que aún está presente en todos los sistemas operativos Microsoft.

Este log de eventos en particular de IE tiene un conjunto específico de autorizaciones que permite que los delincuentes entren y exploren computadoras con Windows.

Vulnerabilidad Logging Dead
Vulnerabilidad Logging Dead

Son ellos:

LogCrusher, que le permite a todo usuario trabar remotamente la aplicación Event Log de cualquier máquina Windows — en el mismo dominio; y

OverLog, que causa un ataque remoto de negación de servicio (DdoS) llenando el espacio del disco rígido de cualquier máquina Windows.

Anatomía de los ataques

En el lado técnico, LogCrusher es un bug lógico en ElfClearELFW, una función en el MS-EVEN que les permite a los administradores limpiar y hacer backup de logs de eventos remotamente.

El problema surge porque ElfClearELFW no logra apuntar un archivo de backup que tenga la palabra NULL en la estructura de su nombre, lo que lleva a la falla.

El riesgo con el LogCrusher es que muchos controles de seguridad dependen de la operación normal del servicio de logs de eventos.

Sin logs, el control de seguridad se queda “ciego” y los sistemas conectados también fallan.

Esto puede permitir que un invasor use cualquier tipo de exploración o ataque normalmente detectado con impunidad, pues los alertas no se accionarán.

Ya el bug OverLog permite que los delincuentes usen una metodología semejante, el identificador de log de eventos “internet explorer” y otra vulnerabilidad en la función BackupEventLogW, para causar negación de servicio permanente para cada máquina Windows.

Microsoft generó el parche para esta vulnerabilidad
Microsoft generó el parche para esta vulnerabilidad

Respuestas y recomendaciones de Microsoft

Microsoft optó por no corregir totalmente la vulnerabilidad del LogCrusher en el Windows 10 (los sistemas operativos más recientes no se ven afectados).

A partir de la actualización del Patch Tuesday del 11 de octubre de 2022 de Microsoft, la configuración de permisos estándar que autorizaba el acceso de usuarios no administrativos al log de eventos del Internet Explorer.

En máquinas remotas quedó restringida a administradores locales, reduciendo mucho el potencial de daños.

Aunque esto aborde este conjunto específico de exploraciones del log de eventos del Internet Explorer, todavía hay potencial para que otros logs de eventos de aplicaciones accesibles al usuario sean aprovechados de manera semejante para ataques.

De esta forma, los especialistas de Varonis recomiendan que todos los sistemas potencialmente vulnerables ​​apliquen el parche suministrado por Microsoft y monitoreen cualquier actividad sospechosa.

Es precupante que pasados 22 años del siglo 21, todavía este tipo de notas sea necesaria para generar conciencia sobre la importancia de aplicar parches en tiempo y forma, como marcan las buenas prácticas de seguridad informática.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más

Ciber resiliencia en el siglo 21: las pymes pierden sustentabilidad

OldGremlin 2022: el grupo de ransomware  estableció nuevos récords

Panorama de Amenazas 2022 de FortiGuard Labs

Seguridad 2022: una visión holística de la red

vulnerabilidad, vulnerabilidad, vulnerabilidad, vulnerabilidad, vulnerabilidad, vulnerabilidad, 

Vestibulum euismod sit amet massa sit amet dignissim. Donec facilisis pharetra cursus. Vivamus sed iaculis mauris, vitae pellentesque erat. Vivamus vitae lacinia enim, sit amet tristique augue. Suspendisse potenti. Proin massa ipsum, ullamcorper sit amet lobortis non, sodales in dolor. Cras sed consectetur metus, a sollicitudin tortor. Morbi ultricies erat quis enim venenatis feugiat. Duis finibus id enim eu facilisis. Quisque vestibulum tellus ac mi

Scroll al inicio