Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Featured

Der lange und gefährliche Atem des Internet Explorers: Varonis entdeckt gefährliche Windows-Schwachstellen

You don’t have to use Internet Explorer for its legacy to have left you vulnerable to LogCrusher and OverLog, a pair of Windows vulnerabilities discovered by the Varonis Threat Labs team.
Dolev Taler
3 minute gelesen
Letzte aktualisierung 28. Oktober 2022

Inhalt

    Sicherheitsforscher der Varonis Thread Labs haben zwei Windows-Sicherheitslücken aufgedeckt, die große Blind Spots für Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe außer Betrieb setzen können.

    LogCrusher und OverLog nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabhängig davon, ob der Browser genutzt wurde oder wird. Während OverLog mittlerweile gefixt ist, hat Microsoft für LogCrusher kürzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle können deshalb immer noch Angriffe durchführen, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.

    Hintergrund

    Das Microsoft Event Log Remoting Protocol

    Die Exploits LogCrusher und OverLog nutzen Funktionen des Microsoft Event Log Remoting Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers ermöglicht: OpenEventLogW ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle für ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner öffnen kann. Diese Funktion ist nützlich für Dienste, die damit Ereignisprotokolle für entfernte Rechner lesen, schreiben und löschen können, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist. Standardmäßig können Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen außer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Domänenbenutzer ein Protokoll-Handle für jeden Windows-Rechner in der Domäne erhalten. Dies bildet die Grundlage für die beiden Exploits.

    LogCrusher

    LogCrusher versetzt jeden Domänenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Domäne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion OpenEventLog für das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden:

    Handle = OpenEventLog(<Victim Machine>, "internet explorer")

    Daraufhin wird die die Funktion ElfClearELFW mit dem zurückgegebenen Handle und NULL als Parameter BackupFileName ausgeführt:

    ElfClearELFW(Handle, NULL)

    Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardmäßig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er für 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen hängen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitslösungen sind zudem direkt mit dem Dienst verbunden. Bei seinem Ausfall stürzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr auslösen. Dies ermöglicht es Cyberkriminellen, auch Angriffe durchzuführen, die normalerweise entdeckt werden würden.

    Blog_WindowsEventLogVulnerabilities_Diagram_LogCrusherAttackFlow_V4

    Der Exploit nutzt dabei einen Bug in der ElfClearELFW-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher „limbenjamin“ an Microsoft gemeldet wurde. Allerdings war es damals nicht möglich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die Lücke nicht zu patchen.

    OverLog

    Mittels OverLog sind Denial-of-Service (DoS)-Angriffe durchführbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Domäne vollgeschrieben wird. Der Angriff läuft dabei folgendermaßen ab: Die Angreifer verschaffen sich (wie bei LogCrusher) einen Zugriff auf das Internet Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zufällige Zeichenketten mit unterschiedlichen Längen) und speichern es dann auf einem Rechner, auf den jeder Domänenbenutzer standardmäßig Schreibrechte hat. Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunfähig wird.

    Blog_WindowsEventLogVulnerabilities_Diagram_OverLogAttackFlow_V2

    Reaktion und Empfehlungen von Microsoft

    Microsoft hat sich dafür entschieden, im Gegensatz zur vollständig beseitigten OverLog-Lücke die LogCrusher-Schwachstelle unter Windows 10 nicht vollständig zu beheben (neuere Betriebssysteme sind davon nicht betroffen). Mit dem Microsoft Patch Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet Explorer-Ereignisprotokoll auf Remote-Rechnern ermöglichte, auf lokale Administratoren beschränkt, wodurch das Schadenspotenzial erheblich reduziert wurde. Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind LogCrusher-Angriffe weiterhin möglich. Darüber hinaus besteht weiterhin die Möglichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen können, in ähnlicher Weise für Angriffe missbraucht werden. Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verdächtigen Aktivitäten überwachen.

    Chronik:

    • 24.5.2022 - Die Sicherheitslücken „OverLog“ und „LogCrusher“ werden dem Microsoft Security Response Center (MSRC) gemeldet.
    • 2.6.2022 - MSRC bestätigt „OverLog“ und der Status wird auf „entwickeln“ geändert.
    • 25.7.2022 - MSRC schließt „LogCrusher“. Microsoft stuft den Schweregrad als moderat ein, da er Administratorrechte und manuelle Eingriffe erfordert, um ihn auszunutzen.
    • 26.7.2022 - Wir schicken eine E-Mail an MSRC, in der wir ausdrücklich darauf hinwiesen, dass die Schwachstelle laut dem ursprünglichen Bericht von einem Domänenbenutzer in der Standard-Windows-Konfiguration ausgenutzt werden kann. Wir erhalten keine Antwort von MSRC.
    • 11.10.2022 - Patch Tuesday: Die „OverLog“-Schwachstelle wurde CVE-2022-37981 zugeordnet und gepatcht.
    • 25.10.2022 - Wir veröffentlichen unsere Ergebnisse im Blog.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Dolev Taler
    Dolev Taler

    Dolev ist ein Sicherheitsforscher bei Varonis Threat Labs. Er liebt die Kopfgeldjagd, Windows-Interna und das Finden komplizierter Lösungen für einfache Probleme.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    varonis-beschleunigt-die-sichere-einführung-von-microsoft-copilot-für-microsoft-365
    Varonis beschleunigt die sichere Einführung von Microsoft Copilot für Microsoft 365
    varonis-beschleunigt-die-sichere-einführung-von-microsoft-copilot-für-microsoft-365
    Rob Sobers
    20. Februar 2024
    Varonis und Microsoft haben sich auf eine strategische Zusammenarbeit geeinigt, um Unternehmen dabei zu helfen, eines der leistungsstärksten Produktivitätstools der Welt sicher zu nutzen – Microsoft Copilot für Microsoft 365.
    entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
    Entdeckung von Sicherheitslücken in Outlook und neue Möglichkeiten, NTLM-Hashes zu leaken
    entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
    Dolev Taler
    8. Februar 2024
    Varonis Threat Labs hat einen neuen Outlook-Exploit und drei neue Möglichkeiten entdeckt, auf NTLM-v2-Hash-Passwörter zuzugreifen.
    microsoft-office-„im-sturm“-erobern
    Microsoft Office „im Sturm“ erobern
    microsoft-office-„im-sturm“-erobern
    Jason Hill
    18. Juli 2023
    Die Ransomware-Gruppe „Storm-0978“ nutzt aktiv eine ungepatchte Sicherheitslücke in Microsoft Office und Windows HTML zur Remote-Ausführung von Code aus.
    ghost-sites:-datendiebstahl-aus-deaktivierten-salesforce-communitys
    Ghost Sites: Datendiebstahl aus deaktivierten Salesforce-Communitys
    ghost-sites:-datendiebstahl-aus-deaktivierten-salesforce-communitys
    Nitay Bachrach
    31. Mai 2023
    Varonis Threat Labs hat entdeckt, dass inkorrekt deaktivierte „Ghost Sites“ auf Salesforce von Angreifern leicht gefunden, darauf zugegriffen und mit Exploits ausgenutzt werden können.