Уязвимости в Windows Task Scheduler: новый риск для эскалации привилегий и сокрытия следов

Четыре новые уязвимости, обнаруженные экспертами в службе планировщика заданий Windows, позволяют локальным злоумышленникам не только повышать свои привилегии до уровня администратора, но и эффективно скрывать следы своей деятельности. Все уязвимости связаны с исполняемым файлом schtasks.exe, который предоставляет администраторам возможность создавать, изменять и удалять запланированные задачи как на локальных, так и на удалённых компьютерах.
Уязвимости в Windows Task Scheduler: новый риск для эскалации привилегий и сокрытия следов
Изображение носит иллюстративный характер

Основная опасность связана с уязвимостью обхода контроля учетных записей (UAC), позволяющей запускать системные команды с правами SYSTEM без запроса разрешения пользователя. Исследователь по безопасности Рубен Энкауа из Cymulate сообщил, что эти недостатки позволяют атакующим обходить стандартные меры защиты Windows и выполнять вредоносные действия с максимально возможными привилегиями. По его словам, «Планировщик заданий — это сложная система, доступная каждому, кто хочет создать задачу, она управляется сервисом с привилегиями SYSTEM и оперирует механизмами контроля привилегий, целостности процессов и подменой пользователей».

Техническая суть одной из уязвимостей заключается в том, что если задача создаётся с использованием метода Batch Logon (аутентификация по паролю), а не Interactive Token, планировщик выдаёт процессу максимальные разрешённые права. Для осуществления атаки злоумышленнику необходимо получить пароль пользователя. Это возможно, например, с помощью расшифровки NTLMv2-хеша после аутентификации на SMB-сервере или с использованием сторонних уязвимостей, таких как CVE-2023-21726.

Даже пользователь с низким уровнем прав, зная пароль члена группы Администраторов, Операторов архивации или Пользователей журналов производительности, может через schtasks.exe получить их максимальные привилегии. В результате возможно несанкционированное получение доступа, кража данных и дальнейшее компрометирование системы.

Особое внимание заслуживают возможности по манипуляции системными журналами. Создавая задачу через Batch Logon и загружая параметры из XML-файла, злоумышленник получает сразу две мощные техники для сокрытия следов: перезапись журнала событий задачи и переполнение файла безопасности Security.evtx. Например, если в поле автора XML-файла указать строку из 3500 символов "A", это действие перезапишет описание задачи в журнале, а при повторении атаки возможно полное уничтожение базы C:\Windows\System32\winevt\logs\Security.evtx.

Исследователь Рубен Энкауа подчёркивает, что обнаруженная уязвимость не ограничивается только обходом UAC, но и позволяет выполнять подмену любого пользователя (при наличии его пароля) через командную строку с помощью флагов /ru (запуск от имени пользователя) и /rp (запуск с паролем), обеспечивая полный административный контроль в сессии выполнения задачи.

Для эксплуатации уязвимостей необходимо наличие пароля целевого пользователя, но способы его получения уже описаны в известных атаках и уязвимостях. Таким образом, совокупность технических особенностей и возможностей планировщика заданий превращает его в мощный инструмент для атакующих, особенно если учесть, что он встроен в каждую систему Windows и доступен из командной строки.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка