研究人员披露了 Windows 事件日志漏洞：LogCrusher 和 OverLog

Hackernews 编译，转载请注明出处：

网络安全研究人员披露了微软Windows中两个漏洞的详细信息，其中一个漏洞可能被利用来导致拒绝服务（DoS）。

这些漏洞被Varonis称为LogCrusher和OverLog，针对事件日志远程处理协议（MS-EVEN），该协议允许远程访问事件日志。

Dolev Taler在与the Hacker News分享的一份报告中表示，虽然前者允许“任何域用户远程崩溃任何Windows计算机的事件日志应用程序”，但OverLog通过“填充域上任何Windows计算机的硬盘空间”导致DoS。

OverLog被分配了CVE标识符CVE-2022-37981（CVSS评分：4.3），并由微软作为其10月补丁周二更新的一部分进行了处理。然而，LogCrusher仍未解决。

“性能可以被中断和/或降低，但攻击者不能完全拒绝服务。”这家科技巨头在本月早些时候发布的关于该漏洞的公告中表示。

根据Varonis的说法，这些漏洞在于攻击者可以获得旧版Internet Explorer日志的句柄，从而有效地为利用该句柄使受害者计算机上的事件日志崩溃甚至引发DoS条件的攻击奠定了基础。

这是通过将其与日志备份功能（BackupEventLogW）中的另一个漏洞相结合来实现的，该功能可将任意日志重复备份到目标主机上的可写文件夹中，直到硬盘驱动器被填满。

此后，Microsoft通过限制本地管理员访问Internet Explorer事件日志来修复OverLog漏洞，从而减少了滥用的可能性。

“虽然这解决了这组特定的Internet Explorer事件日志漏洞，但其他用户可访问的应用程序事件日志仍有可能同样用于攻击。”Taler说。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文