Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Der lange und gefährliche Atem des Internet Explorers: Varonis entdeckt gefährliche Windows-Schwachstellen

3 minute gelesen
Veröffentlicht 28. Oktober 2022

Sicherheitsforscher der Varonis Thread Labs haben zwei Windows-Sicherheitslücken aufgedeckt, die große Blind Spots für Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe außer Betrieb setzen können.

LogCrusher und OverLog nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabhängig davon, ob der Browser genutzt wurde oder wird. Während OverLog mittlerweile gefixt ist, hat Microsoft für LogCrusher kürzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle können deshalb immer noch Angriffe durchführen, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.

Hintergrund

Das Microsoft Event Log Remoting Protocol

Die Exploits LogCrusher und OverLog nutzen Funktionen des Microsoft Event Log Remoting Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers ermöglicht: OpenEventLogW ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle für ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner öffnen kann. Diese Funktion ist nützlich für Dienste, die damit Ereignisprotokolle für entfernte Rechner lesen, schreiben und löschen können, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist. Standardmäßig können Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen außer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Domänenbenutzer ein Protokoll-Handle für jeden Windows-Rechner in der Domäne erhalten. Dies bildet die Grundlage für die beiden Exploits.

LogCrusher

LogCrusher versetzt jeden Domänenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Domäne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion OpenEventLog für das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden:

Handle = OpenEventLog(<Victim Machine>, "internet explorer") 

Daraufhin wird die die Funktion ElfClearELFW mit dem zurückgegebenen Handle und NULL als Parameter BackupFileName ausgeführt:

ElfClearELFW(Handle, NULL)

Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardmäßig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er für 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen hängen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitslösungen sind zudem direkt mit dem Dienst verbunden. Bei seinem Ausfall stürzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr auslösen. Dies ermöglicht es Cyberkriminellen, auch Angriffe durchzuführen, die normalerweise entdeckt werden würden.

Blog_WindowsEventLogVulnerabilities_Diagram_LogCrusherAttackFlow_V4

Der Exploit nutzt dabei einen Bug in der ElfClearELFW-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher „limbenjamin“ an Microsoft gemeldet wurde. Allerdings war es damals nicht möglich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die Lücke nicht zu patchen.

OverLog

Mittels OverLog sind Denial-of-Service (DoS)-Angriffe durchführbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Domäne vollgeschrieben wird. Der Angriff läuft dabei folgendermaßen ab: Die Angreifer verschaffen sich (wie bei LogCrusher) einen Zugriff auf das Internet Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zufällige Zeichenketten mit unterschiedlichen Längen) und speichern es dann auf einem Rechner, auf den jeder Domänenbenutzer standardmäßig Schreibrechte hat. Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunfähig wird.

Blog_WindowsEventLogVulnerabilities_Diagram_OverLogAttackFlow_V2

Reaktion und Empfehlungen von Microsoft

Microsoft hat sich dafür entschieden, im Gegensatz zur vollständig beseitigten OverLog-Lücke die LogCrusher-Schwachstelle unter Windows 10 nicht vollständig zu beheben (neuere Betriebssysteme sind davon nicht betroffen). Mit dem Microsoft Patch Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet Explorer-Ereignisprotokoll auf Remote-Rechnern ermöglichte, auf lokale Administratoren beschränkt, wodurch das Schadenspotenzial erheblich reduziert wurde. Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind LogCrusher-Angriffe weiterhin möglich. Darüber hinaus besteht weiterhin die Möglichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen können, in ähnlicher Weise für Angriffe missbraucht werden. Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verdächtigen Aktivitäten überwachen.

Chronik:

  • 24.5.2022 - Die Sicherheitslücken „OverLog“ und „LogCrusher“ werden dem Microsoft Security Response Center (MSRC) gemeldet.
  • 2.6.2022 - MSRC bestätigt „OverLog“ und der Status wird auf „entwickeln“ geändert.
  • 25.7.2022 - MSRC schließt „LogCrusher“. Microsoft stuft den Schweregrad als moderat ein, da er Administratorrechte und manuelle Eingriffe erfordert, um ihn auszunutzen.
  • 26.7.2022 - Wir schicken eine E-Mail an MSRC, in der wir ausdrücklich darauf hinwiesen, dass die Schwachstelle laut dem ursprünglichen Bericht von einem Domänenbenutzer in der Standard-Windows-Konfiguration ausgenutzt werden kann. Wir erhalten keine Antwort von MSRC.
  • 11.10.2022 - Patch Tuesday: Die „OverLog“-Schwachstelle wurde CVE-2022-37981 zugeordnet und gepatcht.
  • 25.10.2022 - Wir veröffentlichen unsere Ergebnisse im Blog.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
varonis-beschleunigt-die-sichere-einführung-von-microsoft-copilot-für-microsoft-365
Varonis beschleunigt die sichere Einführung von Microsoft Copilot für Microsoft 365
Varonis und Microsoft haben sich auf eine strategische Zusammenarbeit geeinigt, um Unternehmen dabei zu helfen, eines der leistungsstärksten Produktivitätstools der Welt sicher zu nutzen – Microsoft Copilot für Microsoft 365.
entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
Entdeckung von Sicherheitslücken in Outlook und neue Möglichkeiten, NTLM-Hashes zu leaken
Varonis Threat Labs hat einen neuen Outlook-Exploit und drei neue Möglichkeiten entdeckt, auf NTLM-v2-Hash-Passwörter zuzugreifen.
microsoft-office-„im-sturm“-erobern
Microsoft Office „im Sturm“ erobern
Die Ransomware-Gruppe „Storm-0978“ nutzt aktiv eine ungepatchte Sicherheitslücke in Microsoft Office und Windows HTML zur Remote-Ausführung von Code aus.
ghost-sites:-datendiebstahl-aus-deaktivierten-salesforce-communitys
Ghost Sites: Datendiebstahl aus deaktivierten Salesforce-Communitys
Varonis Threat Labs hat entdeckt, dass inkorrekt deaktivierte „Ghost Sites“ auf Salesforce von Angreifern leicht gefunden, darauf zugegriffen und mit Exploits ausgenutzt werden können.