Peneliti cybersecurity telah merinci empat kerentanan yang berbeda dalam komponen inti dari layanan penjadwalan tugas Windows yang dapat dieksploitasi oleh penyerang lokal untuk mencapai peningkatan hak istimewa dan menghapus log untuk menutupi bukti kegiatan jahat.
Masalah -masalah tersebut telah terungkap dalam biner bernama “schtasks.exe,” yang memungkinkan administrator untuk membuat, menghapus, meminta, mengubah, menjalankan, dan mengakhiri tugas yang dijadwalkan di komputer lokal atau jarak jauh.
“A [User Account Control] Kerentanan bypass telah ditemukan di Microsoft Windows, memungkinkan penyerang untuk mem-bypass prompt kontrol akun pengguna, memungkinkan mereka untuk menjalankan perintah privilege tinggi (sistem) tanpa persetujuan pengguna, “kata peneliti keamanan Cymulate Ruben Enkaoua dalam sebuah laporan yang dibagikan kepada Hacker News.
“Dengan mengeksploitasi kelemahan ini, penyerang dapat meningkatkan hak istimewa mereka dan menjalankan muatan berbahaya dengan hak -hak administrator, yang mengarah ke akses yang tidak sah, pencurian data, atau kompromi sistem lebih lanjut.”
Masalahnya, kata perusahaan cybersecurity, terjadi ketika penyerang membuat tugas yang dijadwalkan menggunakan logon batch (yaitu, kata sandi) yang bertentangan dengan token interaktif, menyebabkan layanan penjadwal tugas untuk memberikan proses berjalan hak maksimum yang diizinkan.
Namun, agar serangan ini berhasil, ia bergantung pada aktor ancaman yang memperoleh kata sandi melalui beberapa cara lain, seperti memecahkan hash NTLMV2 setelah mengotentikasi terhadap server SMB atau mengeksploitasi kelemahan seperti CVE-2023-21726.
Hasil bersih dari masalah ini adalah bahwa pengguna prinsip rendah dapat memanfaatkan biner schtasks.exe dan menyamar sebagai anggota grup seperti administrator, operator cadangan, dan pengguna log kinerja dengan kata sandi yang diketahui untuk mendapatkan hak istimewa maksimum yang diizinkan.
Pendaftaran tugas yang dijadwalkan menggunakan metode otentikasi logon batch dengan file XML juga dapat membuka jalan bagi dua teknik penghindaran pertahanan yang memungkinkan untuk menimpa log acara tugas, secara efektif menghapus jalur audit dari aktivitas sebelumnya, serta log keamanan yang meluap.
Secara khusus, ini melibatkan mendaftarkan tugas dengan penulis dengan nama, katakanlah, di mana huruf A diulangi 3.500 kali, dalam file XML, menyebabkan seluruh deskripsi log tugas XML ditimpa. Perilaku ini kemudian dapat diperluas lebih jauh untuk menimpa seluruh database “C: \ Windows \ System32 \ Winevt \ Logs \ Security.evtx”.
“Penjadwal tugas adalah komponen yang sangat menarik. Dapat diakses oleh siapa saja yang bersedia membuat tugas, diprakarsai oleh layanan yang menjalankan sistem, menyulap antara hak istimewa, integritas proses dan peniruan pengguna,” kata Enkaoua.
“Kerentanan pertama yang dilaporkan bukan hanya bypass UAC. Jauh lebih dari itu: Ini pada dasarnya adalah cara untuk menyamar sebagai pengguna mana pun dengan kata sandi dari CLI dan untuk mendapatkan hak istimewa yang diberikan maksimum pada sesi pelaksanaan tugas, dengan bendera /RU dan /RP.”
