{"id":291239,"date":"2024-02-01T15:46:24","date_gmt":"2024-02-01T14:46:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291239"},"modified":"2024-02-02T06:32:27","modified_gmt":"2024-02-02T05:32:27","slug":"windows-eventlogcrasher-0-day-schwachstelle-crasht-event-logging-0patch-micro-patch-verfgbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/01\/windows-eventlogcrasher-0-day-schwachstelle-crasht-event-logging-0patch-micro-patch-verfgbar\/","title":{"rendered":"Windows "EventLogCrasher" 0-Day-Schwachstelle crasht Event-Logging; 0patch Micro-Patch verfügbar"},"content":{"rendered":"

\"Windows\"[English<\/a>]Zum 23. Januar 2024 wurde eine Schwachstelle bekannt, die die Ereignisprotokollieren (Event-Logging) unter Windows abst\u00fcrzen l\u00e4sst. Die als EventLogCrasher bezeichnete Schwachstelle l\u00e4sst sich auch remote in Windows Clients und Windows Server ausnutzen und es gibt noch keinen Patch von Microsoft. Die Nacht hat mich der Gr\u00fcnder von ACROS-Security aber kontaktiert, weil er einen Micro-Patch f\u00fcr seinen 0patch-Agenten f\u00fcr alle betroffenen Windows-Versionen bereitgestellt hat. Die L\u00f6sung ist f\u00fcr alle Windows-Nutzer kostenlos. Hier einige Informationen.<\/p>\n

<\/p>\n

Windows \"EventLogCrasher\" 0-Day-Schwachstelle<\/h2>\n

\"\"Am 23. Januar 2024 hat Sicherheitsforscher Florian Hinweise und einen Proof of Concept zu einer Schwachstelle ver\u00f6ffentlicht (siehe folgender Tweet<\/a>), die es jedem authentifizierten Benutzer in einer Windows-Umgebung (auch in einer Windows-Dom\u00e4ne) erm\u00f6glicht, den Windows-Ereignisprotokolldienst entweder lokal oder auf einem beliebigen Remote-Computer zum Absturz zu bringen. Ab diesem Zeitpunkt w\u00fcrden dann keine Ereignisse mehr aufgezeichnet, ideale Voraussetzungen, um einen Angriff zu verschleiern.<\/p>\n

\"Windows<\/a><\/p>\n

Florian hat Microsoft kontaktiert und diesen Bug gemeldet, bekam aber vom MSRC die R\u00fcckmeldung, dass die Schwachstelle die Anforderungen f\u00fcr einen Patch (als Wartung) bezeichnet, nicht erf\u00fcllt. Au\u00dferdem gab das Microsoft Sicherheitsteam an, dass der gemeldete Bug ein \"Duplikat eines anderen Fehlers aus dem Jahr 2022 sei der die Anforderungen f\u00fcr die Wartung nicht erf\u00fcllte.\" Das bewog Florian, ein Proof of Concept (PoC) auf GitHub<\/a> f\u00fcr den EventLogCrasher zu ver\u00f6ffentlichen.<\/p>\n

Der PoC-Exploit ist recht einfach: Es reicht ein einziger Aufruf an RegisterEventSourceW, der ein Handle zu einem Ereignisprotokoll auf dem angegebenen Computer abruft. Mit entsprechenden Manipulationen der speicherinterne Struktur bewirkt der PoC-Exploit, dass der empfangende Ereignisprotokolldienst \u00fcber eine Null-Zeiger-Dereferenz den Dienst abst\u00fcrzen l\u00e4sst. Der Angriff dauert nur eine Sekunde und funktioniert zuverl\u00e4ssig.<\/p>\n

0Patch Micro-Patch als Fix<\/h2>\n

Mitja Kolsek hat mich die Nacht in einer direkten Nachricht auf seinen nachfolgenden Tweet<\/a> und den 0patch-Beitrag The \"EventLogCrasher\" 0day For Remotely Disabling Windows Event Log, And a Free Micropatch For It<\/a> hingewiesen.<\/p>\n

\""EventLogCrasher"<\/a><\/p>\n

Der Bug betrifft wohl alle Windows-Systeme von Windows 7 bis Windows 11 sowie die zugeh\u00f6rigen Server-Pendants. Mitja Kolsek hat das Ganze untersucht und schreibt, das die Sicherheits- und Systemereignisse nicht verloren gehen, weil diese in eine interne Warteschlange gespeichert werden. Windows versucht dann regelm\u00e4\u00dfig, alle Ereignisse in der Warteschlange zu protokollieren, bis das schlie\u00dflich erfolgreich ist.<\/p>\n

Details zum Problem<\/h3>\n

Die Ereigniswarteschlange, die sich vermutlich im Arbeitsspeicher befindet, wird auf der Festplatte gespeichert, wenn das System ordnungsgem\u00e4\u00df heruntergefahren oder neu gestartet wird, und beim Neustart wieder eingelesen. Sobald der Ereignisprotokolldienst wieder l\u00e4uft, wird die Warteschlange in die entsprechenden Protokolle geleert, allerdings mit korrekten Zeitstempeln. Gelingt es einem Angreifer aber, dass System per Blue Screen abst\u00fcrzen zu lassen, gehen diese Ereignisse in der Warteschlange verloren.<\/p>\n

Bisher haben die Entwickler von ACROS Security herausgefunden, dass ein Angreifer mit geringen Privilegien den Ereignisprotokolldienst sowohl auf dem lokalen Computer als auch auf jedem anderen Windows-Computer im Netzwerk, bei dem er sich authentifizieren kann, zum Absturz bringen kann. In einer Windows-Dom\u00e4ne bedeutet dies alle Dom\u00e4nencomputer, einschlie\u00dflich Dom\u00e4nencontrollern. Die Windows Firewall kann dies auch nicht verhindern, schreibt Kolsek, weil der Angriff \u00fcber eine benannte Pipe (d. h. das SMB-Protokoll) erfolgt.<\/p>\n

Micro-Patch f\u00fcr alle gratis verf\u00fcgbar<\/h3>\n

Mitja Kolsek schreibt, dass der f\u00fcr die obige Schwachstelle entwickelte Micro-Patch, wie alle 0day-Patches kostenlos ist und solange auch bleibt, bis Microsoft einen offiziellen Patch daf\u00fcr bereitstellt. Alles, was Nutzer tun m\u00fcssen, um den Patch anzuwenden, ist, ein 0patch-Konto zu registrieren und den 0patch Agent auf dem Windows-System zu installieren.<\/p>\n

Ich spare mir an dieser Stelle die Details zu erl\u00e4utern. ACROS Security ist f\u00fcr Blog-Leser kein Unbekannter (siehe folgende Links). Die analysieren Schwachstellen und stellen Micropatches zum Schlie\u00dfen der Sicherheitsl\u00fccken bereit. Die Micropatches werden zur Laufzeit \u00fcber den 0patch-Agenten in den Speicher geladen und bewirken, dass die Schwachstellen sich nicht mehr ausnutzen lassen. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
\n0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
\n0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
\n0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
\n0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
\n0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
\n0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
\n0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
\n0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
\n0patch fixt 0-day im Internet Explorer<\/a>
\n0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
\n0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
\n0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
\nWindows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
\n2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
\n0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
\n0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a>
\n0patch fixt ms-officecmd RCE-Schwachstelle in Windows<\/a>
\n0patch fixt RemotePotato0-Schwachstelle in Windows<\/a>
\n0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10\/Server 2019<\/a>
\n0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows<\/a>
\nWindows MSDT 0-day-Schwachstelle \"DogWalk\" erh\u00e4lt 0patch-Fix<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
\n0patch fixt Memory Corruption-Schwachstelle (CVE-2022-35742) in Microsoft Outlook 2010<\/a>
\nWindows 7\/Server 2008 R2: Erhalten auch 2023 und 2024 0patch Micropatches<\/a>
\nWindows: 0Patch Micropatch f\u00fcr MOTOW-ZIP-File-Bug (0-day, kein CVE)<\/a>
\nWindows: 0Patch Micropatch f\u00fcr MotW-Bypassing 0-day (kein CVE)<\/a>
\n0patch sichert den Microsoft Edge f\u00fcr Windows 7\/Server 2008\/2012\/R2 bis Jan. 2025 ab<\/a>
\n0patch Micropatches f\u00fcr Microsoft Office Security Feature Bypass (CVE-2023-33150)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 23. Januar 2024 wurde eine Schwachstelle bekannt, die die Ereignisprotokollieren (Event-Logging) unter Windows abst\u00fcrzen l\u00e4sst. Die als EventLogCrasher bezeichnete Schwachstelle l\u00e4sst sich auch remote in Windows Clients und Windows Server ausnutzen und es gibt noch keinen Patch von Microsoft. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,301],"tags":[7875,24,3288],"class_list":["post-291239","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-windows","tag-0patch","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291239"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291239\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}