eventlog-cveの検出の可能性

Mariusz 受付中最終更新日:2022-01-03 17:15

こんにちは、

システムログをチェックしているときに、これに気づきました:

EventID :1
MachineName :pc
データ :{}
索引 :47298
カテゴリー :(5)
カテゴリ番号 :5
EntryType :情報
メッセージ :CVEの検出の可能性:2021-07-04T21:05:49.6395134Z
追加情報:2021-07-04T21:05:49.6416164Z
このイベントは、既知の脆弱性(2021-07-04T21:05:49.6395134Z)を悪用する試みが検出されたときに生成されます.
このイベントは、ユーザーモードプロセスによって発生します.
ソース :Microsoft-Windows-Kernel-General
ReplaceStrings:{2021-07-04T21:05:49.6395134Z、2021-07-04T21:05:49.6416164Z、1、\Device\HarddiskVolume5\Windows\System32\svchost.exe ...}
InstanceId :1
TimeGenerated :2021年7月4日17:05:49
TimeWritten :2021年7月4日17:05:49
ユーザー名 :
サイト :
容器 :

PSC:\WINDOWS\system32>Get-EventLog system-source Microsoft-Windows-Kernel-General-Newest 50-InstanceId 1|-f:1*-exp replacestringsを選択します
2021-07-04T21:05:49.6395134Z
2021-07-04T21:05:49.6416164Z
1
\Device\HarddiskVolume5\Windows\System32\svchost.exe
13888
PSC:\WINDOWS\system32>Get-EventLog system-source Microsoft-Windows-Kernel-General-Newest 50-InstanceId 1|-f:1-exp replacestringsを選択します
2021-07-04T21:05:49.6395134Z
2021-07-04T21:05:49.6416164Z
1
\Device\HarddiskVolume5\Windows\System32\svchost.exe
13888
PSC:\WINDOWS\system32>

全体として、私が走ったとき:

Powershell

Get-EventLog system-source Microsoft-Windows-Kernel-General-InstanceId 1 |測定

私は443のカウントを取得します...私はこれらを見たことがありません.10月5日から.これは私が心配すべきことですか(パニック)?これは、システムログで「情報」として分類されます.

Windowsのログ記録は非常に苛立たしく、正直言って私も怒ります.

「このイベントは、ユーザーモードプロセスによって発生します.」ただすごい、ありがとう！どっち?次回は、何かが報告したように、何かが危険かもしれないと言ってください.

返信リスト(回答:3)

2 #

JohnMoe 2021-08-06 10:39

私もこれに出くわしました. より多くの情報を取得しようとしたときに気付いたのは、PowerShellが報告しているものとイベントビューアGUIが報告しているものとの間に矛盾があるように見えることです. イベント1カテゴリ5の場合、次のようになります.

PowerShell:CVEの検出の可能性:、追加情報:.このイベントは、既知の脆弱性()を悪用する試みが検出されたときに生成されます.このイベントは、ユーザーモードプロセスによって発生します.

GUI:Thesystemtimehaschangedtofrom

表示されている関連するイベント24カテゴリ11があります:

PowerShell:ソース 'Microsoft-Windows-Kernel-General'のイベントID'24 'の説明が見つかりません. ローカルコンピュータに、メッセージを表示するために必要なレジストリ情報またはメッセージDLLファイルがないか、それらにアクセスする権限がない可能性があります. 次の情報はイベントの一部です:

GUI:タイムゾーン情報がexitreasonで更新されました.Currenttimezonebiasis.

渡されたデータを考えると、GUIは正しいように見え、PowerShellはイベントの間違った説明を取得していますか? 最初のイベントは時間調整のように見える日時を通過し、2番目のイベントの2番目のパラメーターは-600です.これは、私がいるタイムゾーン(AEST、GMT + 10)です.

応答2# ->にスキップ
1 #
Mariusz 2021-08-06 11:00
素晴らしいキャッチ！ CVEを報告していたとしても、システムにまだパッチが適用されていない脆弱性があることに気付く可能性が高いと思います.私はmalwarebytes、bitdefender、およびMicrosoftセーフティスキャナーを実行しました.実際に結果を返した唯一のScan(おそらく誤検知)は、MSセーフティスキャナーでした.また、仕事用コンピューターと同僚の仕事用コンピューターのCVEに関するこれらの通知にも気づきました.心配することはないと思います.

3 #

JoseBel 2021-07-05 23:44

ユーザーモードプロセスとは、プロセスがシステムコールではなくユーザーによって実行されることを意味します.どちらもWindowsカーネルで許可されているアクセスモードです.
この場合、脆弱性を悪用しようとしているアクターに関するログを取得しています.この指示に従ってください:
1.保留中のWindowsUpdateを適用します
2.インストールされているサードパーティソフトウェアを更新します
3.Microsoft SafetyScannerを使用してフルScanをダウンロードして実行します.このリンクからダウンロードしてください: