Blog Featured

Der lange und gefährliche Atem des Internet Explorers: Varonis entdeckt gefährliche Windows-Schwachstellen

You don’t have to use Internet Explorer for its legacy to have left you vulnerable to LogCrusher and OverLog, a pair of Windows vulnerabilities discovered by the Varonis Threat Labs team.
Dolev Taler
3 minute gelesen
Letzte aktualisierung 28. Oktober 2022

Contents

    Sicherheitsforscher der Varonis Thread Labs haben zwei Windows-Sicherheitslücken aufgedeckt, die große Blind Spots für Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe außer Betrieb setzen können.

    LogCrusher und OverLog nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabhängig davon, ob der Browser genutzt wurde oder wird. Während OverLog mittlerweile gefixt ist, hat Microsoft für LogCrusher kürzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle können deshalb immer noch Angriffe durchführen, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.

    Hintergrund

    Das Microsoft Event Log Remoting Protocol

    Die Exploits LogCrusher und OverLog nutzen Funktionen des Microsoft Event Log Remoting Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers ermöglicht: OpenEventLogW ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle für ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner öffnen kann. Diese Funktion ist nützlich für Dienste, die damit Ereignisprotokolle für entfernte Rechner lesen, schreiben und löschen können, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist. Standardmäßig können Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen außer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Domänenbenutzer ein Protokoll-Handle für jeden Windows-Rechner in der Domäne erhalten. Dies bildet die Grundlage für die beiden Exploits.

    LogCrusher

    LogCrusher versetzt jeden Domänenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Domäne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion OpenEventLog für das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden:

    Handle = OpenEventLog(<Victim Machine>, "internet explorer")

    Daraufhin wird die die Funktion ElfClearELFW mit dem zurückgegebenen Handle und NULL als Parameter BackupFileName ausgeführt:

    ElfClearELFW(Handle, NULL)

    Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardmäßig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er für 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen hängen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitslösungen sind zudem direkt mit dem Dienst verbunden. Bei seinem Ausfall stürzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr auslösen. Dies ermöglicht es Cyberkriminellen, auch Angriffe durchzuführen, die normalerweise entdeckt werden würden.

    Blog_WindowsEventLogVulnerabilities_Diagram_LogCrusherAttackFlow_V4

    Der Exploit nutzt dabei einen Bug in der ElfClearELFW-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher „limbenjamin“ an Microsoft gemeldet wurde. Allerdings war es damals nicht möglich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die Lücke nicht zu patchen.

    OverLog

    Mittels OverLog sind Denial-of-Service (DoS)-Angriffe durchführbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Domäne vollgeschrieben wird. Der Angriff läuft dabei folgendermaßen ab: Die Angreifer verschaffen sich (wie bei LogCrusher) einen Zugriff auf das Internet Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zufällige Zeichenketten mit unterschiedlichen Längen) und speichern es dann auf einem Rechner, auf den jeder Domänenbenutzer standardmäßig Schreibrechte hat. Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunfähig wird.

    Blog_WindowsEventLogVulnerabilities_Diagram_OverLogAttackFlow_V2

    Reaktion und Empfehlungen von Microsoft

    Microsoft hat sich dafür entschieden, im Gegensatz zur vollständig beseitigten OverLog-Lücke die LogCrusher-Schwachstelle unter Windows 10 nicht vollständig zu beheben (neuere Betriebssysteme sind davon nicht betroffen). Mit dem Microsoft Patch Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet Explorer-Ereignisprotokoll auf Remote-Rechnern ermöglichte, auf lokale Administratoren beschränkt, wodurch das Schadenspotenzial erheblich reduziert wurde. Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind LogCrusher-Angriffe weiterhin möglich. Darüber hinaus besteht weiterhin die Möglichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen können, in ähnlicher Weise für Angriffe missbraucht werden. Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verdächtigen Aktivitäten überwachen.

    Chronik:

    • 24.5.2022 - Die Sicherheitslücken „OverLog“ und „LogCrusher“ werden dem Microsoft Security Response Center (MSRC) gemeldet.
    • 2.6.2022 - MSRC bestätigt „OverLog“ und der Status wird auf „entwickeln“ geändert.
    • 25.7.2022 - MSRC schließt „LogCrusher“. Microsoft stuft den Schweregrad als moderat ein, da er Administratorrechte und manuelle Eingriffe erfordert, um ihn auszunutzen.
    • 26.7.2022 - Wir schicken eine E-Mail an MSRC, in der wir ausdrücklich darauf hinwiesen, dass die Schwachstelle laut dem ursprünglichen Bericht von einem Domänenbenutzer in der Standard-Windows-Konfiguration ausgenutzt werden kann. Wir erhalten keine Antwort von MSRC.
    • 11.10.2022 - Patch Tuesday: Die „OverLog“-Schwachstelle wurde CVE-2022-37981 zugeordnet und gepatcht.
    • 25.10.2022 - Wir veröffentlichen unsere Ergebnisse im Blog.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Dolev Taler
    Dolev Taler Dolev ist ein Sicherheitsforscher bei Varonis Threat Labs. Er liebt die Kopfgeldjagd, Windows-Interna und das Finden komplizierter Lösungen für einfache Probleme.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    die-fünf-gefährlichsten-software-fehler
    Die fünf gefährlichsten Software-Fehler
    die-fünf-gefährlichsten-software-fehler
    Michael Buckbee
    21. August 2014
    Im Laufe der Jahre hat die MIT-Forschungsgruppe „Mitre“ zahlreiche Software-Fehler, die sich Hacker bereits zunutze gemacht haben, analysiert. Die Verwundbarkeits-Klassifikation (CVE) wurde so etwas wie ein de-facto-Standard für den grundlegenden...
    die-unterschätzte-gefahr:-externe-dienstleister,-ein-sicherheitsrisiko
    Die unterschätzte Gefahr: Externe Dienstleister, ein Sicherheitsrisiko
    die-unterschätzte-gefahr:-externe-dienstleister,-ein-sicherheitsrisiko
    Carl Groves
    15. April 2016
    Das Phänomen ist nicht neu: Externe Dienstleister stellen ein weithin unterschätztes Sicherheitsrisiko dar. Das bestätigte jüngst eine Umfrage bei der im Rahmen des „Vendor Vulnerability Survey 2016“, die Computerwoche berichtete,...
    ein-leitfaden-zum-datenlebenszyklus:-erkennen-der-stellen,-an-denen-ihre-daten-gefährdet-sind
    Ein Leitfaden zum Datenlebenszyklus: Erkennen der Stellen, an denen Ihre Daten gefährdet sind
    ein-leitfaden-zum-datenlebenszyklus:-erkennen-der-stellen,-an-denen-ihre-daten-gefährdet-sind
    Michael Buckbee
    27. Dezember 2018
    Daten sind die wertvollsten Vermögenswerte eines Unternehmens. Um den Wert von Daten schützen zu könnensollten besonders die Stellen identifiziert werden, an denen sie gefährdet sind. Laut der Daten- und Ethik-Expertin Dr....
    warum-es-nicht-immer-russische-hacker-sind-–-insider,-die-unterschätzte-gefahr
    WARUM ES NICHT IMMER RUSSISCHE HACKER SIND – INSIDER, DIE UNTERSCHÄTZTE GEFAHR
    warum-es-nicht-immer-russische-hacker-sind-–-insider,-die-unterschätzte-gefahr
    Carl Groves
    9. Januar 2017
    Russische Hacker? Eher nicht. Nach Informationen des Nachrichtemagazins Spiegel vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“ – also ein Insider – sitzt und die...