Четыре новые уязвимости, обнаруженные экспертами в службе планировщика заданий Windows, позволяют локальным злоумышленникам не только повышать свои привилегии до уровня администратора, но и эффективно скрывать следы своей деятельности. Все уязвимости связаны с исполняемым файлом schtasks.exe, который предоставляет администраторам возможность создавать, изменять и удалять запланированные задачи как на локальных, так и на удалённых компьютерах.
Основная опасность связана с уязвимостью обхода контроля учетных записей (UAC), позволяющей запускать системные команды с правами SYSTEM без запроса разрешения пользователя. Исследователь по безопасности Рубен Энкауа из Cymulate сообщил, что эти недостатки позволяют атакующим обходить стандартные меры защиты Windows и выполнять вредоносные действия с максимально возможными привилегиями. По его словам, «Планировщик заданий — это сложная система, доступная каждому, кто хочет создать задачу, она управляется сервисом с привилегиями SYSTEM и оперирует механизмами контроля привилегий, целостности процессов и подменой пользователей».
Техническая суть одной из уязвимостей заключается в том, что если задача создаётся с использованием метода Batch Logon (аутентификация по паролю), а не Interactive Token, планировщик выдаёт процессу максимальные разрешённые права. Для осуществления атаки злоумышленнику необходимо получить пароль пользователя. Это возможно, например, с помощью расшифровки NTLMv2-хеша после аутентификации на SMB-сервере или с использованием сторонних уязвимостей, таких как CVE-2023-21726.
Даже пользователь с низким уровнем прав, зная пароль члена группы Администраторов, Операторов архивации или Пользователей журналов производительности, может через schtasks.exe получить их максимальные привилегии. В результате возможно несанкционированное получение доступа, кража данных и дальнейшее компрометирование системы.
Особое внимание заслуживают возможности по манипуляции системными журналами. Создавая задачу через Batch Logon и загружая параметры из XML-файла, злоумышленник получает сразу две мощные техники для сокрытия следов: перезапись журнала событий задачи и переполнение файла безопасности Security.evtx. Например, если в поле автора XML-файла указать строку из 3500 символов "A", это действие перезапишет описание задачи в журнале, а при повторении атаки возможно полное уничтожение базы C:\Windows\System32\winevt\logs\Security.evtx.
Исследователь Рубен Энкауа подчёркивает, что обнаруженная уязвимость не ограничивается только обходом UAC, но и позволяет выполнять подмену любого пользователя (при наличии его пароля) через командную строку с помощью флагов /ru (запуск от имени пользователя) и /rp (запуск с паролем), обеспечивая полный административный контроль в сессии выполнения задачи.
Для эксплуатации уязвимостей необходимо наличие пароля целевого пользователя, но способы его получения уже описаны в известных атаках и уязвимостях. Таким образом, совокупность технических особенностей и возможностей планировщика заданий превращает его в мощный инструмент для атакующих, особенно если учесть, что он встроен в каждую систему Windows и доступен из командной строки.
Изображение носит иллюстративный характер
Основная опасность связана с уязвимостью обхода контроля учетных записей (UAC), позволяющей запускать системные команды с правами SYSTEM без запроса разрешения пользователя. Исследователь по безопасности Рубен Энкауа из Cymulate сообщил, что эти недостатки позволяют атакующим обходить стандартные меры защиты Windows и выполнять вредоносные действия с максимально возможными привилегиями. По его словам, «Планировщик заданий — это сложная система, доступная каждому, кто хочет создать задачу, она управляется сервисом с привилегиями SYSTEM и оперирует механизмами контроля привилегий, целостности процессов и подменой пользователей».
Техническая суть одной из уязвимостей заключается в том, что если задача создаётся с использованием метода Batch Logon (аутентификация по паролю), а не Interactive Token, планировщик выдаёт процессу максимальные разрешённые права. Для осуществления атаки злоумышленнику необходимо получить пароль пользователя. Это возможно, например, с помощью расшифровки NTLMv2-хеша после аутентификации на SMB-сервере или с использованием сторонних уязвимостей, таких как CVE-2023-21726.
Даже пользователь с низким уровнем прав, зная пароль члена группы Администраторов, Операторов архивации или Пользователей журналов производительности, может через schtasks.exe получить их максимальные привилегии. В результате возможно несанкционированное получение доступа, кража данных и дальнейшее компрометирование системы.
Особое внимание заслуживают возможности по манипуляции системными журналами. Создавая задачу через Batch Logon и загружая параметры из XML-файла, злоумышленник получает сразу две мощные техники для сокрытия следов: перезапись журнала событий задачи и переполнение файла безопасности Security.evtx. Например, если в поле автора XML-файла указать строку из 3500 символов "A", это действие перезапишет описание задачи в журнале, а при повторении атаки возможно полное уничтожение базы C:\Windows\System32\winevt\logs\Security.evtx.
Исследователь Рубен Энкауа подчёркивает, что обнаруженная уязвимость не ограничивается только обходом UAC, но и позволяет выполнять подмену любого пользователя (при наличии его пароля) через командную строку с помощью флагов /ru (запуск от имени пользователя) и /rp (запуск с паролем), обеспечивая полный административный контроль в сессии выполнения задачи.
Для эксплуатации уязвимостей необходимо наличие пароля целевого пользователя, но способы его получения уже описаны в известных атаках и уязвимостях. Таким образом, совокупность технических особенностей и возможностей планировщика заданий превращает его в мощный инструмент для атакующих, особенно если учесть, что он встроен в каждую систему Windows и доступен из командной строки.
