一个新的漏洞使安全系统变得毫无用处。

一个名为 EventLogCrasher 的新Windows 漏洞允许攻击者远程破坏同一 Windows 域中设备上的事件日志服务。为此，攻击者只需拥有到目标设备的网络连接和任何有效的凭据（即使权限较低）。

该漏洞影响所有版本的 Windows，从 Windows 7 到最新的 Windows 11，从 Server 2008 R2 到 Server 2022。该漏洞的发现者是一位名为 Florian 的安全研究人员，他 向 Microsoft 安全响应中心报告了该漏洞（ MSRC）。）Florian 还 发布了 该攻击的概念证明（Proof-of-Concept，PoC）。微软指出，该问题不符合缓解要求，并且与 2022 年发现的漏洞重复，但未提供更多详细信息。

Varonis 于 2022 年披露的 一个名为 LogCrusher 的类似漏洞 也尚未修补，该漏洞允许任何域用户远程崩溃任何 Windows 计算机上的应用程序事件日志。

正如 Florian 所解释的，当攻击者将无效的UNICODE_STRING对象发送到ElfrRegisterEventSourceW方法（可通过基于RPC（远程过程调用） 的 EventLog 远程处理协议访问）时， wevtsvc!VerifyUnicodeString 中就会发生故障。

事件日志服务故障的后果是严重的，因为它直接影响安全信息和事件管理（SIEM）和入侵检测系统（IDS）系统，这些系统无法接收新事件来触发警报。

幸运的是，安全和系统事件在内存中排队，一旦日志服务再次可用，就会将其添加到事件日志中。但是，如果队列已满或受攻击的系统关闭，此类排队事件可能无法恢复。

Micropatch 服务0patch指出， 低权限攻击者可以禁用 本地计算机以及网络上任何其他 Windows 计算机上可以进行身份验证的事件日志服务。在 Windows 域中，这意味着域中的所有计算机，包括域控制器。在服务停机期间，任何使用Windows日志的检测机制都将失明，从而允许攻击者进行进一步的攻击，例如密码猜测和利用远程服务。

0patch 已针对大多数受影响的 Windows 版本发布了非官方补丁，在 Microsoft 发布官方安全更新来解决该漏洞之前，这些补丁可以免费使用：

• Windows 11 v22H2、v23H2 – 全面更新；
• Windows 11 v21H2 – 全面更新；
• Windows 10 v22H2 – 全面更新；
• Windows 10 v21H2 – 全面更新；
• Windows 10 v21H1 – 全面更新；
• Windows 10 v20H2 – 全面更新；
• Windows 10 v2004 – 全面更新；
• Windows 10 v1909 – 全面更新；
• \Windows 10 v1809 – 完全更新；
• Windows 10 v1803 – 全面更新；
• Windows 7 – 不带 ESU、ESU1、ESU2、ESU3；
• Windows Server 2022 – 完全更新；
• Windows Server 2019 – 全面更新；
• Windows Server 2016 – 全面更新；
• Windows Server 2012 – 不带 ESU、ESU1；
• Windows Server 2012 R2 – 不带 ESU、ESU1；
• Windows Server 2008 R2 – 不带 ESU、ESU1、ESU2、ESU3、ESU4。

要在 Windows 系统上安装必要的补丁，请创建 0patch 帐户并在您的设备上安装 0patch 代理。启动代理后，将自动应用微补丁。