研究者详细介绍了windows事件日志漏洞：Logcrusher和Overlog

网络安全研究人员透露了关于Microsoft Windows中的一对漏洞的详细信息，其中一个漏洞可能被用来导致拒绝服务( DoS )。

  Varonis将这些漏洞称为Log Crusher和Over Log，针对的是Event Log远程处理协议( MS-EVEN )，可以远程访问事件日志。

Dolev Taler在与《黑客新闻》分享的一份报告中说，虽然前者允许”任何域用户远程崩溃任何Windows机器的事件日志应用程序”，但” OverLog “在域上填充任何Windows机器的硬盘空间，从而导致DoS。

  OverLog已被分配为CVE标识符CVE – 2022 – 37981 ( CVSS评分: 4.3)，并被微软作为其十月补丁周二更新的一部分。然而，Log Crusher仍然悬而未决。

这家科技巨头在本月早些时候发布的缺陷咨询中表示，”性能可以中断和/或降低，但攻击者不能完全拒绝服务。”

根据Varonis的说法，攻击者可以获得遗留InternetExplorer日志的句柄，从而有效地设置攻击的阶段，从而使受害者机器上的事件日志崩溃，甚至导致DoS条件。

这是通过将其与日志备份功能( BackupEventLogW )中的另一个缺陷相结合来实现的，它可以将任意日志重复备份到目标主机上的可写文件夹，直到硬盘驱动器被填充为止。

此后，微软通过限制本地管理员访问Internet Explorer事件日志来弥补Over Log缺陷，从而减少误用的可能性。

  Taler说，虽然这解决了这一特定的InternetExplorer事件日志的漏洞，但其他用户可以访问的应用程序事件日志也有可能被用于类似的攻击。