Уязвимость LogCrusher в компоненте Windows Event Log до сих пор актуальна

Уязвимость LogCrusher в компоненте Windows Event Log до сих пор актуальна

Уязвимость LogCrusher в компоненте Windows Event Log до сих пор актуальна

Исследователи в области кибербезопасности рассказали о связке уязвимостей в системном компоненте Microsoft Windows, известном как «Просмотр событий». Компания Varonis дала этим проблемам имена LogCrusher и OverLog.

Согласно описанию, уязвимости затрагивают протокол EventLog Remoting (MS-EVEN), позволяющий получить удалённый доступ к логам событий.

В отчёте эксперты уточняют, что LogCrusher позволяет любому пользователю домена привести к сбою приложения Event Log удалённо. В то же время OverLog является отличным вектором DoS-атаки, поскольку с её помощью можно заполнить все свободное дисковое пространство на любом Windows-устройстве в пределах домена.

Брешь OverLog, получившую идентификатор CVE-2022-37981 и 4,3 балла по шкале CVSS, Microsoft устранила с выходом октябрьского набора обновлений. А вот с патчем для LogCrusher дела обстоят куда хуже — его пока нет.

 

«Да, атакующий может негативно повлиять на производительность, но при этом вызвать полный отказ в работе системы ему не под силу», — объясняют в Microsoft.

 

По словам специалистов Varonis, корень уязвимости кроется в том, что злоумышленник может получить дескриптор устаревшего журнала Internet Explorer и использовать его для развития атаки, приводящей к сбою в работе Event Log.

В процессе эксплуатации эти дыры можно связать с другой брешью — BackupEventLogW. Она поможет атакующему постоянно бэкапить логи в доступную для записи директорию. Это в конечном счёте приведёт к переполнению диска.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники начали использовать информацию из Росреестра для атак

Мошенники начали активно использовать данные Росреестра о недвижимости для проведения атак социальной инженерии. Цель таких схем может быть разной: вынудить жертву перевести деньги на подконтрольный счет, установить вредоносное приложение или назвать код аутентификации для сервиса.

О новых приёмах злоумышленников РИА Новости рассказал генеральный директор SafeTech Денис Калемберг.

Аферисты строят общение на знании конкретного объекта недвижимости, принадлежащего собеседнику. По словам эксперта, именно эта информация становится для мошенников «ключом» к доверию со стороны жертвы.

По сути, схема является развитием старой легенды о замене счетчиков, о которой Центр правопорядка Москвы и Московской области предупреждал ещё год назад.

Однако в этом году сценарий заметно усложнился. На первом этапе жертва получает код подтверждения не от Госуслуг, а от стороннего сервиса — например, каршеринга, службы доставки или маркетплейса. Как отметил Денис Калемберг, задача злоумышленников — убедить человека, что это именно код от Госуслуг, вызвать замешательство и панику.

Следом приходит сообщение якобы от Госуслуг с контактным номером. По нему отвечает «специалист Роскомнадзора по борьбе с мошенничеством», утверждающий, что злоумышленники подменили текст и номер в смс техническими средствами.

Если жертва начинает задавать уточняющие или неудобные вопросы, мошенник уходит от прямых ответов, ссылаясь на плохую связь.

Финальные цели атак могут различаться. Злоумышленники требуют перевести деньги на «безопасный счёт», сообщить код из смс для подтверждения операции или установить вредоносное приложение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru