"EventLogCrasher" Zero-Day en el registro de eventos de Windows recibe parches no oficiales

Una reciente vulnerabilidad Zero-Day, bautizada como EventLogCrasher, ha emergido en el ecosistema de Windows, permitiendo a los atacantes colapsar el servicio de registro de eventos en dispositivos dentro del mismo dominio de Windows. Esta vulnerabilidad afecta a todas las versiones de Windows, desde Windows 7 hasta la última Windows 11 y desde Server 2008 R2 hasta Server 2022. La comunidad de ciberseguridad ha respondido rápidamente a esta amenaza con la disponibilidad de parches no oficiales.

Origen del Problema

EventLogCrasher fue descubierto y reportado al equipo de Microsoft Security Response Center por un investigador de seguridad conocido como Florian. Sin embargo, Microsoft ha indicado que esta vulnerabilidad no cumple con los requisitos para una actualización de servicio y ha mencionado que es un duplicado de un error descubierto en 2022. A pesar de la falta de detalles por parte de Microsoft sobre la vulnerabilidad anterior, la empresa de software Varonis reveló un fallo similar llamado LogCrusher, que también está a la espera de un parche oficial.

Impacto y Explotación

Para explotar esta vulnerabilidad en las configuraciones predeterminadas del Firewall de Windows, los atacantes requieren conectividad de red con el dispositivo objetivo y credenciales válidas, incluso con privilegios bajos. Esto permite a los atacantes interrumpir el servicio de registro de eventos no solo localmente sino en todas las computadoras con Windows dentro del mismo dominio, incluidos los controladores de dominio. Este ataque asegura que las actividades maliciosas no se registren, afectando directamente a los sistemas de gestión de información y eventos de seguridad (SIEM) y a los sistemas de detección de intrusiones (IDS).

Soluciones No Oficiales Disponibles

Ante la falta de una solución oficial por parte de Microsoft, el servicio de microparches zero-patch ha lanzado parches no oficiales para las versiones de Windows más afectadas. Estos parches están disponibles de forma gratuita hasta que Microsoft publique actualizaciones de seguridad oficiales para abordar el problema. Las versiones cubiertas incluyen:

• Windows 11 (v22H2, v23H2 - completamente actualizado)
• Windows 10 (v22H2, v21H2, v21H1, v20H2, v2004, v1909, v1809, v1803 - completamente actualizados)
• Windows 7 (sin ESU, ESU1, ESU2, ESU3)
• Windows Server 2022, 2019, 2016 (completamente actualizados)
• Windows Server 2012, 2012 R2 (sin ESU, ESU1)
• Windows Server 2008 R2 (sin ESU, ESU1, ESU2, ESU3, ESU4)

Implementación de los Microparches

Para instalar los parches necesarios en su sistema Windows, es necesario crear una cuenta en zero-patch e instalar el agente de zero-patch en el dispositivo. Una vez lanzado el agente, el microparche se aplicará automáticamente sin necesidad de reiniciar el sistema, siempre y cuando no exista una política de parcheo personalizada que lo bloquee.

Recomendaciones para la Protección

Mientras esperamos una solución oficial de Microsoft, es crucial que los administradores de sistemas y usuarios apliquen estos microparches de manera proactiva y sigan las mejores prácticas de seguridad. Esto incluye mantener los sistemas operativos actualizados, limitar los privilegios de los usuarios a lo estrictamente necesario y monitorizar activamente la red para detectar cualquier actividad sospechosa.