Scoperta una subdola vulnerabilità 0-DAY al componente Event Log di Windows.
Riassumendo, un attaccante collegato in LAN, che dispone di credenziali anche di basso livello, può bloccare il servizio event log di ogni device con OS windows, server e domain controller.
Questa vulnerabilità apparentemente minore potrebbe consentire di disattivare il servizio event log anche sui controller di dominio, rendendo quindi “cieche” anche le soluzioni IDS – SIEM aziendali che sfruttano l’agente di raccolta log presente nel controller di dominio, o sulle varie postazioni.
In pratica, un attaccante potrebbe disabilitare il servizio log, evitando quindi di avere registrate le varie attività malevole condotte. Diventerebbe quindi più difficile riscontrare – dai log – le attività illecite, specialmente nei casi di persistenza degli attaccanti durante il periodo iniziale di reconnaissance.