Siber güvenlik araştırmacıları, Windows Görev Zamanlama Hizmetinin temel bir bileşeninde, ayrıcalık artışını sağlamak ve kötü niyetli faaliyetlerin kanıtlarını örtmek için günlükleri silmek için yerel saldırganlar tarafından kullanılabilecek dört farklı güvenlik açıkına sahiptir.
Sorunlar, bir yöneticinin yerel veya uzak bir bilgisayarda planlanan görevleri oluşturmasını, silmesini, sorgulamasını, değiştirmesini, çalıştırmasını ve bitirmesini sağlayan bir ikili “Schtasks.exe” adlı ikili olarak ortaya çıkarıldı.
“A [User Account Control] Bypass güvenlik açığı Microsoft Windows’ta bulundu ve saldırganların kullanıcı hesabı kontrol istemini atlamalarını sağlayarak, kullanıcı onayı olmadan yüksek ürkütücü (sistem) komutlarını yürütmelerine izin verdi. “Dedi.
“Bu zayıflıktan yararlanarak, saldırganlar ayrıcalıklarını yükseltebilir ve kötü amaçlı yükleri yöneticilerin haklarıyla çalıştırabilir, bu da yetkisiz erişim, veri hırsızlığı veya daha fazla sistem uzlaşmasına yol açabilir.”
Siber güvenlik şirketi, sorunun, bir saldırganın etkileşimli bir jetonun aksine toplu oturum açma (yani bir şifre) kullanarak planlanmış bir görev oluşturduğunda, görev zamanlayıcı hizmetinin çalışan işlemine izin verilen maksimum hakları vermesine neden olduğunda ortaya çıktığını söyledi.
Bununla birlikte, bu saldırının işe yaraması için, bir SMB sunucusuna karşı kimlik doğrulaması yaptıktan sonra veya CVE-2023-21726 gibi kusurları sömürmek gibi bir NTLMV2 karma gibi parolayı elde eden tehdit oyuncusu üzerine menteşeler.
Bu sorunun net bir sonucu, düşük ayrıcalıklı bir kullanıcının schtasks.exe ikiliden yararlanabileceği ve yöneticiler, yedek operatörler ve performans günlüğü kullanıcıları gibi grupların bir üyesini, izin verilen maksimum ayrıcalıkları elde etmek için bilinen bir şifreye sahip olmasıdır.
Bir XML dosyası ile bir toplu oturum açma kimlik doğrulama yöntemi kullanarak planlanmış bir görevin kaydı, görev olay günlüğünün üzerine yazmayı, önceki etkinliğin denetim yollarını etkili bir şekilde silmenin yanı sıra taşma güvenlik günlüklerini de ortadan kaldıran iki savunma kaçakçılığı tekniğinin yolunu açabilir.
Özellikle, bu, bir yazarın adıyla bir yazarın kaydedilmesini, örneğin, A harfinin XML dosyasında 3.500 kez tekrarlandığı ve tüm XML görev günlüğü açıklamasının üzerine yazılmasına neden olduğu adıyla kaydedilmeyi içerir. Bu davranış daha sonra “C: \ Windows \ System32 \ WineVt \ logs \ security.evtx” veritabanının üzerine yazacak şekilde daha da genişletilebilir.
Enkaoua, “Görev zamanlayıcı çok ilginç bir bileşendir. Bir görev çalıştırma hizmeti tarafından başlatılan, ayrıcalıklar, süreç bütünlükleri ve kullanıcı taklitleri arasında hokkabazlık yapan bir görev oluşturmak isteyen herkes tarafından erişilebilir.” Dedi.
“Bildirilen ilk güvenlik açığı sadece bir UAC bypass değildir. Bundan çok daha fazlasıdır: aslında herhangi bir kullanıcıyı CLI’den şifresi ile taklit etmenin ve görev yürütme oturumunda /RU ve /RP bayraklarıyla maksimum verilen ayrıcalıkları elde etmenin bir yoludur.”