Kritik Windows TaskManager dahil schtasks.exe Kötü niyetli aktörlerin sistem düzeyinde ayrıcalıklarla komutları yürütmesini, kullanıcı hesabı kontrolü (UAC) istemlerini atlamasını ve denetim günlüklerini silmesini sağlayabilecek ikili.
Bu kusurlar, pencere ortamları için tehdit manzarasını önemli ölçüde yükselterek ayrıcalık artış riskleri, gizli sistem manipülasyonu ve veri açığa çıkması riskleri ortaya koyuyor.
Sorunun merkezinde, görevleri otomatikleştirmekten sorumlu hayati bir sistem hizmeti olan Windows Görev Scheduler’ı yatıyor. Bileşen schtasks.exe Kullanıcıların ve yöneticilerin planlanan görevleri yerel ve uzaktan oluşturmalarına, değiştirmelerine ve yönetmelerine olanak tanır.
.png
)
Bununla birlikte, Cymulate araştırmacıları güvenlik kontrollerini atlamak ve sistem ayrıcalıkları kazanmak için kullanılabilecek birden fazla güvenlik açığı belirlemiştir.
Windows TaskManager Güvenlik Açıkları
En endişe verici kusurlardan biri, toplu oturum açma kimlik bilgileri kullanılarak oluşturulan planlanmış görevler aracılığıyla UAC bypass’ı içerir. Tipik olarak, bir şifre (toplu oturum açma) ile planlanmış bir görev oluşturmak açık kimlik bilgileri gerektirir, ancak saldırganlar ayrıcalıklarını kullanıcı onayı olmadan yükseltmek için bu işlemi kullanabilir.
Bir saldırgan toplu oturum açmayı kullanarak bir görev oluşturduğunda, görev zamanlayıcısı saldırganı maksimum haklarla taklit eder ve yürütme üzerine sistem düzeyinde erişim sağlar. Bu işlem, yüksek privilge komutları yürütmeden önce normalde kullanıcı onayını isteyen en yüksek UAC ayarını atlar.
Siber güvenlik araştırmacıları, büyük boyutlu arabelleklerle dolu yazar etiketleri gibi manipüle edilmiş meta verilerle kötü niyetli XML dosyaları hazırlayarak, saldırganlar görev olay günlüklerini ve hatta taşma güvenlik günlüklerini zehirleyebilir. Security.evtx. Bu teknikler, saldırganların üzerine günlüklerin üzerine yazarak izlerini örtmelerini sağlayarak algılamayı zorlaştırır.
Ayrıca, güvenlik açıkları uzaktan saldırı vektörlerine uzanır. RPC arayüzlerinden yararlanarak, kötü niyetli aktörler zehirlenmiş XML verilerini görev günlüklerine enjekte edebilir, denetim parkurlarının üzerine yazabilir ve hatta tüm güvenlik günlüklerini bozarak kötü niyetli faaliyetlerin kanıtlarını etkili bir şekilde siler.
Görev meta verilerinin ve günlük girişlerinin sıkı bir şekilde doğrulanmasının olmaması, bu tür saldırıları kolaylaştırır.
Bu güvenlik açıklarının en ciddi sonucu, düşük ayrıcalıklı kullanıcıların sistem veya yönetici hesaplarını taklit etme yeteneğidir. Örneğin, düşük ayrıcalıklı bir hesaba erişimi olan bir saldırgan şu olabilir:
- Bilinen şifrelerle planlanan görevler oluşturun, ardından toplu oturum açma güvenlik açıklarından yararlanarak sisteme ayrıcalıkları artırın.
- Günlüklerdeki kötü niyetli faaliyetleri gizlemek için meta veri zehirlenmesi tekniklerini kullanın.
- Dahil olmak üzere güvenlik olay günlüklerinin üzerine yazın
Security.evtxmüdahale izlerini etkili bir şekilde siliyor.
Bu ayrıcalık artış ve log manipülasyon kombinasyonu, saldırganların tehlikeye atılan sistemlere kalıcı, gizli erişim sağlayabilmelerini, tespit ve iyileştirmeyi son derece zorlaştırmasını sağlar.
Bu güvenlik açıkları, Windows ortamlarının temel güvenlik varsayımlarını tehdit etmektedir. Kusurlardan yararlanarak:
- Saldırganlar keyfi komutları sistem olarak yürütebilir ve ana bilgisayar üzerinde tam kontrol sahibi olabilir.
- Yetkisiz ayrıcalık artışını önlemek için tasarlanmış UAC istemlerini atlayabilirler.
- Olay yanıt çabalarını engelleyerek denetim günlüklerini manipüle edebilir veya silebilirler.
Cymulation, bu güvenlik açıklarının hedeflenen saldırılarda, fidye yazılımı dağıtımlarında veya kurumsal ağlardaki yanal hareketlerde kullanılabileceği konusunda uyarır. Bu güvenlik açıkları MSRC’ye bildirilmiştir, ancak dikkate alınmamıştır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy