IMPORTANTE Este artigo contém informações que mostram como reduzir as configurações de segurança ou como desativar os recursos de segurança em um computador. É possível fazer essas alterações para solucionar um problema específico. Antes de fazer essas alterações, é aconselhável avaliar os riscos associados à implementação dessa solução alternativa no ambiente específico. Se você implementar essa solução alternativa, execute etapas adicionais apropriadas para ajudar a proteger o sistema.
Resumo
O log de eventos do Internet Explorer tem um descritor de segurança personalizado (CustomSD) definido que permite que qualquer usuário de domínio autenticado (não administrador) se conecte e receba um identificador para o log de eventos. Isso permite que qualquer usuário autenticado no domínio receba um identificador para o log de eventos (mesmo em um dispositivo diferente, em outro dispositivo ingressado no domínio ou em um controlador de domínio diferente) e grave arquivos de log no log de eventos. Esse comportamento pode causar uma negação de serviço temporária porque o sistema de armazenamento do dispositivo de destino pode ser preenchido por um usuário autenticado remoto. Isso pode tornar o dispositivo inutilizável até que os arquivos incorretos sejam excluídos.
CVE-2022-37981 implementa uma alteração de comportamento que restringe uma conta de Usuário de Domínio de acessar o log de eventos do Internet Explorer. Essa alteração de comportamento está incluída nas atualizações de segurança do Windows datadas em ou após outubro de 2022.
Essa alteração de comportamento possibilita o seguinte:
-
Permitir todo o acesso a um Administrador de Domínio
-
Permitir todo o acesso a um Administrador Local
-
Negar todo o acesso a um Usuário de Domínio
-
Permitir todo o acesso a todos
Solução alternativa
AVISO Esta solução alternativa pode tornar o computador ou a rede mais vulnerável a ataques de usuários ou softwares mal-intencionados, como vírus. Essa solução alternativa não é recomendável, mas é fornecida para que você possa implementá-la conforme desejar. O uso dessa solução alternativa é de sua responsabilidade.
Especificamente, se você usar essa solução alternativa, um usuário autenticado no domínio poderá gravar arquivos de log no log de eventos, o que pode causar uma negação temporária de serviço e fazer com que o dispositivo fique inutilizável.
Para reverter para o comportamento antes de instalar a atualização de segurança de outubro de 2022, altere os descritores de segurança do Internet Explorer no Registro.
IMPORTANTE Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
KB322756: Como fazer backup e restaurar o Registro no Windows
Altere o seguinte valor do CustomSD:
|
Chave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
|
Valor do CustomSD |
|
Para o seguinte valor do CustomSD:
|
Chave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Internet Explorer |
|
Valor do CustomSD |
|
Mais informações
A seguir está o comportamento antes e depois de instalar a atualização de segurança de outubro de 2022.
|
Acessar |
Comportamento antes |
Comportamento após |
|
Administrador de domínio |
acesso |
acesso |
|
Administrador local |
acesso |
acesso |
|
Usuário de domínio (não administrador) |
acesso |
Negar |
|
Usuário local |
acesso |
acesso |
|
Conta de serviço |
acesso |
acesso |
|
Todos os outros acessos |
acesso |
acesso |
Depois de instalar a atualização de segurança de outubro de 2022, um usuário de domínio não poderá acessar o log de eventos do Internet Explorer no controlador de domínio. Essa alteração de comportamento impede uma negação de serviço distribuída temporária. No entanto, uma conta de administrador no controlador de domínio pode alterar o valor do CustomSD para um valor anterior para qualquer lógica de aplicativo, conforme necessário.
