Cybersecurity -onderzoekers hebben gedetailleerde vier verschillende kwetsbaarheden gedetailleerd in een kerncomponent van de Windows -taakplanningsservice die door lokale aanvallers kan worden benut om escalatie van privileges te bereiken en logboeken te wissen om bewijs van kwaadaardige activiteiten te dekken.
De problemen zijn ontdekt in een binair genaamd “schtasks.exe”, waarmee een beheerder in staat stelt om geplande taken op een lokale of externe computer te maken, te verwijderen, te verwijderen, te wijzigen, uit te voeren en te beëindigen.
“Er is een (gebruikersaccountbesturing) omzeilen in Microsoft Windows te vinden, waardoor aanvallers de prompt van de gebruikersaccountcontrole kunnen omzeilen, waardoor ze kunnen worden uitgevoerd met een hoog privilege (System) -opdrachten zonder goedkeuring van de gebruiker,” zei Cymulate Security-onderzoeker Ruben Enkaoua in een rapport gedeeld met het hacker-nieuws.
“Door deze zwakte te benutten, kunnen aanvallers hun voorrechten verhogen en kwaadaardige ladingen uitvoeren met de rechten van beheerders, wat leidt tot ongeautoriseerde toegang, gegevensdiefstal of verder systeemcompromis.”
Het probleem, zei het cybersecuritybedrijf, treedt op wanneer een aanvaller een geplande taak maakt met behulp van batch -aanmelding (dwz een wachtwoord) in tegenstelling tot een interactief token, waardoor de taakplanner -service het lopende proces de maximale toegestane rechten verleent.
Om deze aanval te laten werken, hangt het echter af van de dreigingsacteur die het wachtwoord op een andere manier verwerft, zoals het kraken van een NTLMV2-hash na authenticeren tegen een SMB-server of het exploiteren van fouten zoals CVE-2013-21726.
Een netto resultaat van dit probleem is dat een gebruiker met lage bevoorrechte de schtasks.exe binair kan benutten en zich voordoet als een lid van groepen zoals beheerders, back-upoperators en prestatieloggebruikers met een bekend wachtwoord om de maximaal toegestane privileges te verkrijgen.
De registratie van een geplande taak met behulp van een batch -aanmeldingsverificatiemethode met een XML -bestand kan ook de weg vrijmaken voor twee verdedigingsontduikingstechnieken die het mogelijk maken om het taakgebeurtenislogboek te overschrijven, waardoor auditpaden van eerdere activiteit effectief worden gewist, evenals overloopbeveiligingslogs.
In het bijzonder gaat het om het registreren van een taak bij een auteur met de naam, bijvoorbeeld, waar de letter A 3.500 keer wordt herhaald, in het XML -bestand, waardoor de volledige XML -taaklogboekbeschrijving wordt overschreven. Dit gedrag zou vervolgens verder kunnen worden uitgebreid om de hele “C: Windows System32 WINEVT LOGS Security.evtx” database te overschrijven.
“De taakplanner is een zeer interessant onderdeel. Toegankelijk door iedereen die een taak wil maken, geïnitieerd door een systeem die een systeem loopt, jongleren tussen de privileges, de procesintegriteiten en gebruikersinstrotingen,” zei Enkaoua.
“De eerste gerapporteerde kwetsbaarheid is niet alleen een UAC -bypass. Het is veel meer dan dat: het is in wezen een manier om zich voor te doen als een gebruiker met zijn wachtwoord van CLI en om de maximaal verleende privileges te verkrijgen op de taakuitvoeringsessie, met de /RU- en /RP -vlaggen.”
