Histoires de Logs
Failles dans les logs de Windows ?
Récemment mises en évidence par les experts de Varonis Threat Labs, 2 vulnérabilités mettent à mal le journal des évènements spécifique à Internet explorer, profondément installé dans les OS de Windows (avant windows 11).
Leurs noms : LogCrusher et OverLog. Elles utilisent le protocole Microsoft Event Log Remoting (MS-EVEN) qui autorise la manipulation à distance des journaux d’évènements, en permettant de lire, écrire et effacer les journaux sans avoir besoin de se connecter manuellement aux machines vulnérables.
Les attaques se déroulent selon 4 étapes :
- Obtenir le descripteur du journal de IE
- Écrire des chaînes aléatoires dans le journal d’évènement
- Sauvegarder ce journal dans un dossier « tasks » disponible sur la machine
- Répéter ce process jusqu’à ce que le disque soit plein jusqu’à bloquer la machine complètement
Microsoft a publié un correctif le 11 octobre dernier pour atténuer les risques notamment le plantage du journal en question et les dénis de service (DoS), sachant que celui-ci limite les autorisations d’accéder au journal de IE aux administrateurs locaux des machines, il n’en reste pas moins le cas des autres journaux qui peuvent potentiellement être attaqués de la même manière. La surveillance est de mise pour les équipes de sécurité !
