Про 0day уязвимость Event­LogCrash­er (без CVE). Уязвимость позволяет злоумышленнику удаленно крашить службу Event Log на устройствах в том же Win­dows-домене (включая контроллеры домена). И пока логи не ведутся злоумышленник потенциально может брутить пароли, атаковать системы ненадежными эксплоитами с риском их покрашить и творить прочую заметную дичь.

🔻Для эксплуатации злоумышленнику необходимо сетевое подключение к целевому устройству и любая валидная учётка (даже с низкими привилегиями)
🔻 Уязвимость затрагивает все версии Win­dows: от Win­dows 7 до последней версии Win­dows 11 и от Serv­er 2008 R2 до Serv­er 2022
🔻 Есть PoC и видео демонстрация
🔻 Microsoft заявили исследователю, что уязвимость недостаточно критична ("didn't meet the require­ments for ser­vic­ing"), не требует срочного исправления и что они исправят её в будущем. 🤷‍♂️ Также сообщили, что это дубль какой-то уязвимости 2022 года, которая также была недостаточно критичной для исправления. Видимо официального исправления ждать пока не приходится. 😐
🔻 Уязвимость подтвердили исследователи из 0patch и выпустили неофициальное исправление
🔻 Похожую уязвимость в прошлом году описывали исследователи из компании Varo­nis, они назвали её LogCrush­er. Она также прошла без CVE и там тоже были проблемы с признанием её критичности со стороны Microsoft.

Пока Microsoft не прояснят ситуацию остаётся либо фиксить это микропатчем от 0patch, либо ловить эксплуатацию SIEM-ом. Например с помощью 🟥 Max­Pa­trol SIEM. 😉