В утиліті Sysmon виявлено вразливість витоку пам'яті, здатна призвести до нестачі пам'яті на комп'ютері

В утиліті Sysmon виявлено вразливість витоку пам'яті, здатна призвести до нестачі пам'яті на комп'ютері та викликати аварійне завершення роботи після планового оновлення конфігураційного файлу за допомогою запланованого завдання або будь-яким іншим способом.

Sysmon є системною службою Microsoft, яка у фоновому режимі збирає інформацію про систему і записує її в журнал подій Windows. Після встановлення Sysmon конфігураційний файл налаштовується таким чином, щоб утиліта автоматично запускалася як служба, і як драйвер. Збір інформації починається відразу після завантаження системи.

За словами дослідника безпеки, адміністратори, які працюють із версією Sysmon 8.0.0 і, можливо, 8.0.2, повинні оновити утиліту до версії 8.0.4, в якій вразливість витоку пам'яті вже виправлена.

«Ми виявили витік пам'яті в poolmon. У нас є скрипт, який щогодини оновлює конфігураційний файл і завантажує xml з GitHub. Після кожного перезавантаження пул пам'яті, що не підкачується, заповнювався на 15 МБ, і так щогодини. Через 30 днів все перестало працювати», - повідомив дослідник порталу Bleeping Computer.

Згідно з повідомленням на форумі Microsoft Sysinternals, після кожного перезавантаження конфігураційного файлу драйвер Sysmon (SysmonDrv.sys) займає нові ділянки пулу пам'яті, що не підкачується, при цьому не очищуючи вже зайняті ділянки. В результаті відбувається витік пам'яті.