Sicherheitsforscher der Varonis Threat Labs haben zwei Windows-Sicherheitslücken aufgedeckt, die große Blind-Spots für Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe außer Betrieb setzen können. „LogCrusher“ und „OverLog“ nutzen dabei das Internet-Explorer-spezifische Ereignisprotokoll „MS-EVEN“, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabhängig davon, ob der Browser genutzt wurde oder wird. Während Overlog mittlerweile gefixt ist, hat Microsoft für Logcrusher kürzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle können deshalb immer noch Angriffe durchführen, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.
Hintergrund: Das Microsoft-Event-Log-Remoting-Protocol
Die Exploits Logcrusher und Overlog nutzen Funktionen des Microsoft-Event-Log-Remoting-Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers ermöglicht: „OpenEventLogW“ ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle für ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner öffnen kann. Diese Funktion ist nützlich für Dienste, die damit Ereignisprotokolle für entfernte Rechner lesen, schreiben und löschen können, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist. Standardmäßig können Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet-Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen außer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Domänenbenutzer ein Protokoll-Handle für jeden Windows-Rechner in der Domäne erhalten. Dies bildet die Grundlage für die beiden Exploits.
Logcrusher
Logcrusher versetzt jeden Domänenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Domäne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion „OpenEventLog“ für das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden: Handle = OpenEventLog(<Opfer-Rechner>, internet explorer). Daraufhin wird die die Funktion „ElfClearELFW“ mit dem zurückgegebenen Handle und NULL als Parameter BackupFileName ausgeführt: ElfClearELFW(Handle, NULL). Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardmäßig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er für 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen hängen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitslösungen sind zudem direkt mit dem Dienst verbunden. Bei seinem Ausfall stürzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr auslösen. Dies ermöglicht es Cyberkriminellen, auch Angriffe durchzuführen, die normalerweise entdeckt werden würden.
Der Exploit nutzt dabei einen Bug in der ElfClearELFW-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher „limbenjamin“ an Microsoft gemeldet wurde. Allerdings war es damals nicht möglich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die Lücke nicht zu patchen.
Overlog
Mittels Overlog sind Denial-of-Service (DoS) -Angriffe durchführbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Domäne vollgeschrieben wird. Der Angriff läuft dabei folgendermaßen ab: Die Angreifer verschaffen sich (wie bei Logcrusher) einen Zugriff auf das Internet-Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zufällige Zeichenketten mit unterschiedlichen Längen) und speichern es dann auf einem Rechner, auf den jeder Domänenbenutzer standardmäßig Schreibrechte hat. Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunfähig wird.
Reaktion und Empfehlungen von Microsoft
Microsoft hat sich dafür entschieden, im Gegensatz zur vollständig beseitigten Overlog-Lücke die Logcrusher-Schwachstelle unter Windows 10 nicht vollständig zu beheben (neuere Betriebssysteme sind davon nicht betroffen). Mit dem Microsoft-Patch-Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet-Explorer-Ereignisprotokoll auf Remote-Rechnern ermöglichte, auf lokale Administratoren beschränkt, wodurch das Schadenspotenzial erheblich reduziert wurde. Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind Logcrusher-Angriffe weiterhin möglich. Darüber hinaus besteht weiterhin die Möglichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen können, in ähnlicher Weise für Angriffe missbraucht werden. Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verdächtigen Aktivitäten überwachen.
Info: Weitere technische Details und Informationen finden sich im entsprechenden Blog-Beitrag von Varonis.
#Varonis