EventLogCrasher

EventLogは、Windowsのロギングシステムです。
これは、システムやアプリケーションなどが、機器上で発生したイベントを記録し、後でのメンテナンスなどに利用することができるようにするものです。
機器のローカルでは、イベントビューアーという管理ツールで簡単に確認することができます。
そして、ドメインコントローラーで集中管理する、SIEMで組織全体のログを監視するという仕組みの一部として利用することもできます。
SIEMによる監視は、いかにして漏れなくログを収集して、それを適切に監視できるかにかかっています。

このログが流れ込んでこなくなるということは、どういうことを意味するでしょうか。
物理セキュリティの監視カメラで考えてみましょう。
ビルに配置した1000台の監視カメラのうちの1台が故障したという事象が発生した場合、そのカメラのカバーしていた範囲についての監視ができなくなります。
では、1000台の監視カメラ全部が故障した場合、どうでしょう。そのビルの状態把握はまったくできなくなります。
監視システムが機能するかどうかは、情報を収集できるかにかかっているといえます。

2024年2月時点で、まだ対応方法の提供されていない脆弱性が存在していることが分かっています。
確認されている脆弱性はEventLogのDoS攻撃を可能としてしまうものです。
複数の研究者がPoCコードを公開しています。

そういったPoCコードの一つが、EventLogCrasherです。
これは、攻撃者がRPCベースのEventLog Remoting Protocolによって公開されているElfrRegisterEventSourceWメソッドに、不正なUNICODE_STRINGオブジェクトを送信すると、wevtsvc!VerifyUnicodeStringでクラッシュが発生してしまうというものです。
権限の低い攻撃者が、ローカルマシンと認証できるネットワーク内の他のWindowsコンピュータの両方でイベントログサービスをクラッシュさせることができるということになります。
組織でWindowsドメインを構成して利用するケースは一般的だと思います。
この場合、だれか一人の認証情報が利用できるだけで、そのドメインを構成するすべての機器のイベントログサービスを停止できてしまうということになります。
これは大変なことです。
パスワード総当たり攻撃、リモートサービスを頻繁にクラッシュさせる信頼性の低いエクスプロイトによる悪用、攻撃者が好むWhoamiコマンドの実行など何を実行しても、その活動を検出することはできません。

Microsoftからは、まだパッチが提供されていません。
0patchというサービスを提供する会社が無償で利用できる対策を提供していますので、本家のパッチが提供されるまでの期間についてはこれを選ぶことができそうに思えます。
しかし、やはり、正規のパッチを適用したいです。正規のパッチが早くリリースされることを祈ります。

参考記事（外部リンク）：The “EventLogCrasher” 0day For Remotely Disabling Windows Event Log, And a Free Micropatch For It
blog.0patch.com/2024/01/the-eventlogcrasher-0day-for-remotely.html