{"id":274425,"date":"2022-10-28T00:02:00","date_gmt":"2022-10-27T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274425"},"modified":"2023-06-22T16:33:24","modified_gmt":"2023-06-22T14:33:24","slug":"windows-gefhrliche-ie-basierende-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/28\/windows-gefhrliche-ie-basierende-schwachstellen\/","title":{"rendered":"Windows: Gef&auml;hrliche, IE-basierende Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/10\/28\/windows-dangerous-ie-based-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher der Varonis Threat Labs haben zwei Windows-Sicherheitsl\u00fccken aufgedeckt, die gro\u00dfe blinde Flecken f\u00fcr Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe au\u00dfer Betrieb setzen k\u00f6nnen. <em>LogCrusher<\/em> und <em>OverLog<\/em> nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabh\u00e4ngig davon, ob der Browser genutzt wurde oder wird. W\u00e4hrend <em>OverLog<\/em> mittlerweile gefixt ist, hat Microsoft f\u00fcr <em>LogCrusher<\/em> k\u00fcrzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle k\u00f6nnen deshalb immer noch Angriffe durchf\u00fchren, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.<\/p>\n<p><!--more--><\/p>\n<h2>Hintergrund: Das Microsoft Event Log Remoting Protocol<\/h2>\n<p>Die Exploits LogCrusher und OverLog nutzen Funktionen des Microsoft Event Log Remoting Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers erm\u00f6glicht: <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/winbase\/nf-winbase-openeventlogw\" target=\"_blank\" rel=\"noopener\">OpenEventLogW<\/a> ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle f\u00fcr ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner \u00f6ffnen kann. Diese Funktion ist n\u00fctzlich f\u00fcr Dienste, die damit Ereignisprotokolle f\u00fcr entfernte Rechner lesen, schreiben und l\u00f6schen k\u00f6nnen, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist.<\/p>\n<p>Standardm\u00e4\u00dfig k\u00f6nnen Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen au\u00dfer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Dom\u00e4nenbenutzer ein Protokoll-Handle f\u00fcr jeden Windows-Rechner in der Dom\u00e4ne erhalten. Dies bildet die Grundlage f\u00fcr die beiden Exploits.<\/p>\n<h3>LogCrusher<\/h3>\n<p>LogCrusher versetzt jeden Dom\u00e4nenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Dom\u00e4ne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion OpenEventLog f\u00fcr das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden: Handle = OpenEventLog(&lt;Opfer-Rechner&gt;, internet explorer). Daraufhin wird die die Funktion ElfClearELFW mit dem zur\u00fcckgegebenen Handle und NULL als Parameter BackupFileName ausgef\u00fchrt: ElfClearELFW(Handle, NULL).<\/p>\n<p>Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardm\u00e4\u00dfig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er f\u00fcr 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen h\u00e4ngen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitsl\u00f6sungen sind zudem direkt mit dem Dienst verbunden.<\/p>\n<p>Bei seinem Ausfall st\u00fcrzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr ausl\u00f6sen. Dies erm\u00f6glicht es Cyberkriminellen, auch Angriffe durchzuf\u00fchren, die normalerweise entdeckt werden w\u00fcrden.<\/p>\n<p>Der Exploit nutzt dabei einen Bug in der <em>ElfClearELFW<\/em>-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher \"limbenjamin\" <a href=\"https:\/\/limbenjamin.com\/articles\/crash-windows-event-logging-service.html\" target=\"_blank\" rel=\"noopener\">an Microsoft gemeldet wurde<\/a>. Allerdings war es damals nicht m\u00f6glich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die L\u00fccke nicht zu patchen.<\/p>\n<h3>OverLog<\/h3>\n<p>Mittels OverLog sind Denial-of-Service (DoS)-Angriffe durchf\u00fchrbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Dom\u00e4ne vollgeschrieben wird. Der Angriff l\u00e4uft dabei folgenderma\u00dfen ab: Die Angreifer verschaffen sich (wie bei LogCrusher) einen Zugriff auf das Internet Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zuf\u00e4llige Zeichenketten mit unterschiedlichen L\u00e4ngen) und speichern es dann auf einem Rechner, auf den jeder Dom\u00e4nenbenutzer standardm\u00e4\u00dfig Schreibrechte hat.<\/p>\n<p>Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunf\u00e4hig wird.<\/p>\n<blockquote><p>Die Kollegen von Bleeping Computer haben im Mai 2022 <a href=\"https:\/\/web.archive.org\/web\/20220718213536\/https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-are-now-hiding-malware-in-windows-event-logs\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> ver\u00f6ffentlicht und erw\u00e4hnen dort, dass Angreifer nun ihre Malware in den Windows Event Logs verstecken.<\/p><\/blockquote>\n<h2>Reaktion und Empfehlungen von Microsoft<\/h2>\n<p>Microsoft hat sich daf\u00fcr entschieden, im Gegensatz zur vollst\u00e4ndig beseitigten OverLog-L\u00fccke die LogCrusher-Schwachstelle unter Windows 10 nicht vollst\u00e4ndig zu beheben (neuere Betriebssysteme sind davon nicht betroffen).<\/p>\n<p>Mit dem Microsoft Patch Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet Explorer-Ereignisprotokoll auf Remote-Rechnern erm\u00f6glichte, auf lokale Administratoren beschr\u00e4nkt, wodurch das Schadenspotenzial erheblich reduziert wurde.<\/p>\n<p>Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind LogCrusher-Angriffe weiterhin m\u00f6glich. Dar\u00fcber hinaus besteht weiterhin die M\u00f6glichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen k\u00f6nnen, in \u00e4hnlicher Weise f\u00fcr Angriffe missbraucht werden.<\/p>\n<p>Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verd\u00e4chtigen Aktivit\u00e4ten \u00fcberwachen.\u00a0Weitere technische Details und Informationen finden sich im entsprechenden <a href=\"https:\/\/www.varonis.com\/blog\/the-logging-dead-two-windows-event-log-vulnerabilities\" target=\"_blank\" rel=\"nofollow noopener\">Blog-Beitrag<\/a> von Varonis.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher der Varonis Threat Labs haben zwei Windows-Sicherheitsl\u00fccken aufgedeckt, die gro\u00dfe blinde Flecken f\u00fcr Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe au\u00dfer Betrieb setzen k\u00f6nnen. LogCrusher und OverLog nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/10\/28\/windows-gefhrliche-ie-basierende-schwachstellen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-274425","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274425","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274425"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274425\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274425"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274425"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274425"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}