Pembaruan keamanan tidak resmi telah dirilis untuk mengatasi kerentanan zero-day Windows terbaru yang disebut EventLogCrasher yang memungkinkan penyerang merusak layanan Log event pada perangkat Windows dalam domain yang sama secara remote.
Rentang kerentanan ini mencakup semua versi Windows dari Windows 7 hingga Windows 11 terbaru dan dari Server 2008 R2 hingga Server 2022.
Kerentanan ini dilaporkan oleh peneliti keamanan bernama Florian kepada tim Microsoft Security Response Center dan meskipun Microsoft menyebutnya sebagai duplikat dari bug tahun 2022, rincian tambahan tidak disediakan.
Varonis, perusahaan perangkat lunak, telah mengungkapkan kerentanan serupa bernama LogCrusher yang juga belum mendapatkan pembaruan.
Kerentanan ini memungkinkan pengguna domain untuk menonaktifkan layanan Log Acara pada mesin Windows di seluruh domain.
Untuk mengeksploitasi zero-day ini, penyerang memerlukan konektivitas jaringan ke perangkat target dan kredensial yang valid sehingga memungkinkan mereka menonaktifkan layanan Log Event pada semua komputer Windows dalam domain yang sama termasuk domain controller.
Penyerang dapat memanfaatkan keadaan ini untuk membuat SIEM dan IDS kehilangan visibilitas, memberi waktu pada penyerang untuk melancarkan serangan lebih lanjut tanpa terdeteksi.
Layanan micropatching 0patch telah merilis patch tidak resmi yang dapat diinstal tanpa memerlukan restart sistem pada sejumlah versi Windows yang terkena dampak hingga pembaruan resmi dari Microsoft tersedia.
Sumber:
https://www.bleepingcomputer.com/news/
microsoft/new-windows-event-log-zero-day-flaw-gets-unofficial-patches/
Rentang kerentanan ini mencakup semua versi Windows dari Windows 7 hingga Windows 11 terbaru dan dari Server 2008 R2 hingga Server 2022.
Kerentanan ini dilaporkan oleh peneliti keamanan bernama Florian kepada tim Microsoft Security Response Center dan meskipun Microsoft menyebutnya sebagai duplikat dari bug tahun 2022, rincian tambahan tidak disediakan.
Varonis, perusahaan perangkat lunak, telah mengungkapkan kerentanan serupa bernama LogCrusher yang juga belum mendapatkan pembaruan.
Kerentanan ini memungkinkan pengguna domain untuk menonaktifkan layanan Log Acara pada mesin Windows di seluruh domain.
Untuk mengeksploitasi zero-day ini, penyerang memerlukan konektivitas jaringan ke perangkat target dan kredensial yang valid sehingga memungkinkan mereka menonaktifkan layanan Log Event pada semua komputer Windows dalam domain yang sama termasuk domain controller.
Penyerang dapat memanfaatkan keadaan ini untuk membuat SIEM dan IDS kehilangan visibilitas, memberi waktu pada penyerang untuk melancarkan serangan lebih lanjut tanpa terdeteksi.
Layanan micropatching 0patch telah merilis patch tidak resmi yang dapat diinstal tanpa memerlukan restart sistem pada sejumlah versi Windows yang terkena dampak hingga pembaruan resmi dari Microsoft tersedia.
Sumber:
https://www.bleepingcomputer.com/news/
microsoft/new-windows-event-log-zero-day-flaw-gets-unofficial-patches/