Windows Görev Scheduler’s Schtasks.exe’deki yeni güvenlik açıkları Saldırganların UAC’yi atlaması, meta verileri değiştirin, olay günlüklerini değiştirin ve kaçınma tespitinden kaçın.
Bu eylemler Miter ATT & CK taktikleri ile eşleşiyor: kalıcılık, ayrıcalık artış, yürütme, yanal hareket ve savunma kaçakçılığı.
Schtasks.exe’nin kötüye kullanılması, savunucuları uyarmadan gizli görev oluşturma ve manipülasyon sağlar, bu da onu erişimi korumak ve günlüklerden kaçınmak için güvenilir bir araç haline getirir.
.png
)
Kimlik Tabanlı Sömürü aracılığıyla UAC Bypass
En kritik güvenlik açığı, yerel yönetici kimlik bilgilerine sahip saldırganların, en yüksek “her zaman bilgilendirme” ayarında bile bir UAC istemini tetiklemeden sistem ayrıcalıklarına sahip komutları yürütmesine izin veren bir UAC bypass’dır.
Saldırganlar, etkileşimli bir jeton yerine toplu oturum açma kimlik doğrulaması ( /RU ve /RP bayrakları) kullanarak planlanmış bir görev oluşturarak, görev zamanlayıcı hizmetinin taklit mekanizmasını kullanabilir.
Sistem olarak çalışan hizmet, göreve izin verilen maksimum ayrıcalıkları verir ve onu herhangi bir bütünlük seviyesinden sisteme yükseltir.
Bu bypass, saldırganların bir SMB sunucusu aracılığıyla NTLMV2 karmalarını yakalamak ve hashcat gibi araçlarla çevrimdışı kırmak gibi yöntemlerle elde edebilecekleri bir yöneticinin şifresi hakkında bilgi gerektirir.
Alternatif olarak, Windows Kayıt Defteri’ndeki Clear Metin kimlik bilgilerini saklayan CVE-2023-21726 gibi güvenlik açıkları gerekli kimlik bilgilerini sağlayabilir.
Saldırganlar elde edildikten sonra, ayrıcalıkları yükseltmek için geçici bir görev oluşturabilir, ardından UAC’yi tamamen atlayarak sistem düzeyinde bir görev ortaya çıkarabilir.
Savunma Kaçma: Meta Veri ve Olay Günlüğü Zehirlenmesi
Cymulate raporuna göre, iki yeni savunma kaçakçılığı tekniği tehdidi daha da artırıyor. İlk, planlanmış görev meta veri zehirlenmesi, görev zamanlayıcının XML tabanlı görev kaydı ile işlenmesini kullanır.
Toplu oturum açma kimlik doğrulaması ile bir görev oluşturulduğunda, XML’deki yazar etiketi, “Yönetici” veya “TrustEDEDInstaller” gibi güvenilir varlıkları taklit etmek için keyfi olarak değiştirilebilir.
Bu, meta veriler Windows Kayıt Defteri’nde (HKLM) saklandığından ve Impacket’in ATEXEC gibi araçlar kullanılarak yerel veya uzaktan manipüle edilebildiği için, güvenlik araçlarını ve yöneticileri görev meşruiyetini inceleyen yanıltıcı.
İkinci teknik olan görev olay günlüğü zehirlenmesi ve taşması, görev oluşturmayı kaydetmek için kullanılan Windows olay günlüğünü (olay kimliği 4698) hedefler.
Yazar etiketi, saldırganların, görevin XML tanımlayıcıyı içeren tüm GörevContent alanının üzerine yazmalarına izin veren kontrolsüz bir arabelleğe sahiptir.
Bu, adli analizden yük gibi kritik ayrıntıları gizler. Büyük boyutlu bir yazar etiketi ile bir görev oluşturarak, saldırganlar kötü amaçlı etkinliklerin kanıtlarını silebilir.
Buna dayanarak, güvenlik günlükleri doygunluk, olay günlüğünün 20MB varsayılan boyut sınırından yararlanır.
Saldırganlar (her biri 8KB tüketen yaklaşık 2.280 yineleme) görevleri tekrar tekrar kaydederek, Security.evtx dosyasını bir dakikadan fazla bir süre içinde taşıyabilir ve önceki tüm günlükleri bir log-temizleme olayını tetiklemeden siler (Olay Kimliği 1102).
Bu, güvenlik izleme araçlarını etkili bir şekilde, CWE-117 (yanlış çıkış nötralizasyonu) ve CWE-400 (kontrolsüz kaynak tüketimi) istismar zinciri elde ederek etkili bir şekilde kör eder.
Sömürü teknikleri
Bu güvenlik açıkları birkaç general ATT & CK taktiklerini geliştirir. Ayrıcalık artışı için, UAC bypass ve toplu oturum açma takviyesi, düşük privileged kullanıcıların yöneticiler, yedek operatörler veya performans günlüğü kullanıcıları gibi grupların üyelerini taklit etmesine izin verir ve yüksek ayrıcalıklar kazanır.
Örneğin, bir yedekleme operatörü, DCSYNC saldırıları yoluyla etki alanından ödün vermesini sağlayarak planlanmış bir görev kullanarak hassas kayıt defteri kovanlarını (SAM, güvenlik, sistem) yedekleyebilir.
Yanal hareket için saldırganlar, Active Directory ortamlarında döndürmek için toplu oturum açma haklarından yararlanabilir. Savunma kaçırma teknikleri, kötü niyetli görevlerin meta verileri zehirleyerek ve günlükleri silerek, tespit ve yanıtı karmaşıklaştırarak fark edilmesini sağlar.
Microsoft’un MSRC’ye bildirildiği gibi, bu bulgulara verdiği yanıt, meta veri zehirlenmesini güvenlik dışı bir sorun olarak küçümsedi ve yazar etiketinin rolünü güvenlik açısından değil, bilgilendirici olarak gösterdi.
Ancak, güvenlik ürünlerinin bu meta verilere güvenmesi risklerinin altını çizmektedir.
Kuruluşlar katı erişim kontrolleri uygulamalı, mümkünse NTLM’yi devre dışı bırakmalı ve anormallikler için görev zamanlayıcı etkinliğini izlemelidir. Kerberos kimlik doğrulamasına geçiş ve en az oldukça önemli prensiplerin uygulanması riskleri azaltabilir.
Görev zamanlayıcının erişilebilirliği ve sistem düzeyinde yürütülmesi, onu saldırganlar için ana hedef haline getirir. Bu güvenlik açıkları, sofistike kaçırma taktiklerine karşı koymak için sağlam yama yönetimi ve gelişmiş izleme ihtiyacını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!