Investigadores de Varonis alertan sobre vulnerabilidades descubiertas en Microsoft Windows, vinculadas a Internet Explorer, identificadas como “Logging Dead”. Aunque la fabricante ya publicó un parche parcial para una de las vulnerabilidades descubiertas, todavía existen riesgos de daños.
Microsoft cerró el soporte a Internet Explorer el 15 de junio de 2022. Sin embargo, la profunda integración de IE al ecosistema de Windows afecta la seguridad y la estabilidad de los sistemas operativos más actuales. Esta integración está correlacionada a un log de eventos específico del navegador, que aún está presente en todos los sistemas operativos Microsoft.
Logging Dead es un log de eventos en particular de IE tiene un conjunto específico de autorizaciones que permite que los delincuentes entren y exploren computadoras con Windows. Son ellos:
- LogCrusher, que le permite a todo usuario trabar remotamente la aplicación Event Log de cualquier máquina Windows, en el mismo dominio.
- OverLog, que causa un ataque remoto de negación de servicio (DDoS) llenando el espacio del disco rígido de cualquier máquina Windows.
Anatomía de los ataques
En el lado técnico, LogCrusher es un bug lógico en ElfClearELFW, una función en el MS-EVEN que les permite a los administradores limpiar y hacer backup de logs de eventos remotamente. El problema surge porque ElfClearELFW no logra apuntar un archivo de backup que tenga la palabra NULL en la estructura de su nombre, lo que lleva a la falla.
El riesgo con el LogCrusher es que muchos controles de seguridad dependen de la operación normal del servicio de logs de eventos. Sin logs, el control de seguridad se queda “ciego” y los sistemas conectados también fallan. Esto puede permitir que un invasor use cualquier tipo de exploración o ataque normalmente detectado con impunidad, pues los alertas no se accionarán.
Ya el bug OverLog permite que los delincuentes usen una metodología semejante, el identificador de log de eventos “internet explorer” y otra vulnerabilidad en la función BackupEventLogW, para causar negación de servicio permanente para cada máquina Windows.
Respuestas y recomendaciones de Microsoft
Microsoft optó por no corregir totalmente la vulnerabilidad del LogCrusher en el Windows 10 (los sistemas operativos más recientes no se ven afectados).
A partir de la actualización del Patch Tuesday del 11 de octubre de 2022 de Microsoft, la configuración de permisos estándar que autorizaba el acceso de usuarios no administrativos al log de eventos del Internet Explorer en máquinas remotas quedó restringida a administradores locales, reduciendo mucho el potencial de daños.
Aunque esto aborde este conjunto específico de exploraciones del log de eventos del Internet Explorer, todavía hay potencial para que otros logs de eventos de aplicaciones accesibles al usuario sean aprovechados de manera semejante para ataques.
De esta forma, los especialistas de Varonis recomiendan que todos los sistemas potencialmente vulnerables apliquen el parche suministrado por Microsoft y monitoreen cualquier actividad sospechosa.