Уязвимость журнала событий операционных систем Windows связана с недостаточной проверкой значений полей XML-журнала. Эксплуатация уязвимости может позволить нарушителю вызвать переполнение буфера памяти журнала событий и перезаписать его путем отправки специально сформированного XML-файла
Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование SIEM-систем для отслеживания следующих событий Windows: «106» (настройки аудита были изменены), «141» (аудит доступа к объекту), «1102» (очистка журнала событий) и «4698» (запланирована задача);
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение возможности использования планировщика задач Windows;
- использование средств резервного копирования для обеспечения возможности восстановления системы;
- ограничение возможности доступа пользователей к командному интерфейсу управления операционной системы Windows.
| Балл | 4.6 — средняя опасность |