16/12/2024

Actu Cybersécurité

Ce correctif non officiel vous protège d’une faille zero-day présente dans l’Event Log de Windows

Un correctif non officiel, proposé par la plateforme 0Patch, a été publié pour corriger une faille de sécurité zero-day nommée "EventLogCrasher" ! En exploitant cette vulnérabilité, un attaquant peut faire planter à distance le service Event Log de Windows. Voici ce qu'il faut savoir.

Le 23 janvier 2024, un chercheur en sécurité surnommé Florian a publié sur Twitter des détails au sujet d'une vulnérabilité qui permet de faire planter le service Event Log de Windows (Journal d'événements de Windows), à distance ou en local, à partir de n'importe quel compte utilisateur.

Dans un premier temps, il a contacté l'équipe MSRC de Microsoft pour faire remonter ce problème de sécurité, mais il n'a pas obtenu une réponse positive. Microsoft estime que cette vulnérabilité n'est pas éligible : "ils ont prétendu qu'il s'agissait d'un double d'un autre bug datant de 2022 (coïncidence ?) qui ne répondait pas aux exigences de servicing", précise-t-il.

De ce fait, il a publié un code PoC pour montrer l'exploitation de cette vulnérabilité, en pratique. Nous pouvons voir que c'est très simple. D'un point de vue d'un attaquant, il suffit d'avoir une connectivité réseau avec la machine cible et avoir des identifiants valides (un compte avec de faibles privilèges est suffisant) pour exploiter la vulnérabilité. Même si le pare-feu Windows est actif, l'exploitation est possible (avec la configuration par défaut).

Le risque : ne pas avoir de trace de certains événements

Cette faille de sécurité pourrait être exploitée dans le cadre d'une cyberattaque puisque si l'attaquant fait planter le service Event Log d'un contrôleur de domaine pendant son attaque, les événements associés à ses actions ne seront pas journalisés ! Nous pouvons même dire que cela pourrait empêcher certains événements de remonter dans le SIEM de l'entreprise. Ainsi, l'attaquant peut agir sans se faire remarquer...

À ce sujet, voici ce que précise 0patch dans son article de blog : "La bonne nouvelle à ce stade est que le service Windows Event Log est configuré pour redémarrer automatiquement en cas d'arrêt inattendu. La mauvaise nouvelle est qu'il n'est redémarré que deux fois, puis plus du tout. Par conséquent, si le service d'enregistrement des événements se bloque trois fois, il s'arrête de manière persistante."

Toutefois, il faut savoir que les événements relatifs à la sécurité et au système sont mis en mémoire si le service Event Log n'est pas disponible. Lorsqu'il est de nouveau actif, ils sont inscrits. Malgré tout, cette file d'attente à des limites en termes de taille et elle est éphémère : les événements sont perdus en cas de redémarrage de la machine, ou de plantage.

Comment se protéger ?

Comme je l'évoquais en introduction, la plateforme de micropatching 0patch a publié des correctifs non officiels pour combler cette faille de sécurité. D'ailleurs, cette vulnérabilité affecte toutes les versions de Windows et Windows Server à partir de Windows 7 et Windows Server 2008 R2.

En attendant un éventuel correctif officiel de la part de Microsoft, 0patch met à disposition gratuitement les correctifs suivants :

  • Windows 11 v22H2, v23H2 - mise à jour complète
  • Windows 11 v21H2 - mise à jour complète
  • Windows 10 v22H2 - mise à jour complète
  • Windows 10 v21H2 - mise à jour complète
  • Windows 10 v21H1 - mise à jour complète
  • Windows 10 v20H2 - mise à jour complète
  • Windows 10 v2004 - mise à jour complète
  • Windows 10 v1909 - mise à jour complète
  • Windows 10 v1809 - mise à jour complète
  • Windows 10 v1803 - mise à jour complète
  • Windows 7 - pas d'ESU, ESU1, ESU2, ESU3
  • Windows Server 2022 - mise à jour complète
  • Windows Server 2019 - mise à jour complète
  • Windows Server 2016 - mise à jour complète
  • Windows Server 2012 - pas d'ESU, ESU1
  • Windows Server 2012 R2 - pas d'ESU, ESU1
  • Windows Server 2008 R2 - pas d'ESU, ESU1, ESU2, ESU3, ESU4

Il faut savoir que 0patch existe depuis plusieurs années et que des correctifs sont régulièrement mis à disposition des utilisateurs. Ils ne sont pas toujours gratuits, car il y a un service payant associé à cette plateforme.

Merci à l'équipe 0patch de m'avoir transmis cette information.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Ce correctif non officiel vous protège d’une faille zero-day présente dans l’Event Log de Windows

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.