Специалисты по защите от кибератак обнаружили четыре уязвимости в важной части Windows, которая называется Планировщик задач (schtasks.exe). Это программа, которую администраторы используют для создания и запуска задач на компьютерах.
Исследователь Рубен Энкауа из компании Cymulate объяснил, что злоумышленник может использовать эти уязвимости для обхода системы UAC (когда появляется окно с запросом разрешения на выполнение от имени администратора), выполнения команд с самыми высокими правами без разрешения пользователя и удаления системных журналов, чтобы скрыть свои следы.
Это все возможно благодаря созданию специальной задачи и правильному файлу XML. Атака основана на создании задачи с использованием Batch Logon, когда происходит вход с помощью логина и пароля, а не просто интерактивный вход. Если у злоумышленника есть пароль (например, он его узнал из хеша NTLMv2 или из другой уязвимости), то он может создать задачу, которая будет запускаться с самыми высокими правами.
С помощью параметров /ru и /rp («запуск от имени пользователя» и «запуск с паролем») злоумышленник может подменить любого пользователя, даже администратора или оператора резервного копирования.
Также, использование специального XML-файла позволяет затереть записи в журналах: например, если задать имя автора задачи длиной в 3500 символов, можно переполнить описание события и стереть важную информацию. Иногда даже можно перезаписать целый файл Security.evtx — важный журнал безопасности Windows.
Планировщик задач — это мощный инструмент, который работает от имени системы и доступен любому пользователю. Это означает, что даже обычный пользователь может получить контроль над системой, выполнить вредоносный код и замести свои следы.