Yeni Windows TaskManager güvenlik açıkları, sistem kullanıcısı olarak komut yürütmeye izin verir


Windows TaskManager Güvenlik Açıkları

Kritik Windows TaskManager dahil schtasks.exe Kötü niyetli aktörlerin sistem düzeyinde ayrıcalıklarla komutları yürütmesini, kullanıcı hesabı kontrolü (UAC) istemlerini atlamasını ve denetim günlüklerini silmesini sağlayabilecek ikili.

Bu kusurlar, pencere ortamları için tehdit manzarasını önemli ölçüde yükselterek ayrıcalık artış riskleri, gizli sistem manipülasyonu ve veri açığa çıkması riskleri ortaya koyuyor.

Sorunun merkezinde, görevleri otomatikleştirmekten sorumlu hayati bir sistem hizmeti olan Windows Görev Scheduler’ı yatıyor. Bileşen schtasks.exe Kullanıcıların ve yöneticilerin planlanan görevleri yerel ve uzaktan oluşturmalarına, değiştirmelerine ve yönetmelerine olanak tanır.

Google Haberleri

Bununla birlikte, Cymulate araştırmacıları güvenlik kontrollerini atlamak ve sistem ayrıcalıkları kazanmak için kullanılabilecek birden fazla güvenlik açığı belirlemiştir.

Windows TaskManager Güvenlik Açıkları

En endişe verici kusurlardan biri, toplu oturum açma kimlik bilgileri kullanılarak oluşturulan planlanmış görevler aracılığıyla UAC bypass’ı içerir. Tipik olarak, bir şifre (toplu oturum açma) ile planlanmış bir görev oluşturmak açık kimlik bilgileri gerektirir, ancak saldırganlar ayrıcalıklarını kullanıcı onayı olmadan yükseltmek için bu işlemi kullanabilir.

Bir saldırgan toplu oturum açmayı kullanarak bir görev oluşturduğunda, görev zamanlayıcısı saldırganı maksimum haklarla taklit eder ve yürütme üzerine sistem düzeyinde erişim sağlar. Bu işlem, yüksek privilge komutları yürütmeden önce normalde kullanıcı onayını isteyen en yüksek UAC ayarını atlar.

Görev Yöneticisi Tetikleyici
Görev Yöneticisi Tetikleyici

Siber güvenlik araştırmacıları, büyük boyutlu arabelleklerle dolu yazar etiketleri gibi manipüle edilmiş meta verilerle kötü niyetli XML dosyaları hazırlayarak, saldırganlar görev olay günlüklerini ve hatta taşma güvenlik günlüklerini zehirleyebilir. Security.evtx. Bu teknikler, saldırganların üzerine günlüklerin üzerine yazarak izlerini örtmelerini sağlayarak algılamayı zorlaştırır.

Ayrıca, güvenlik açıkları uzaktan saldırı vektörlerine uzanır. RPC arayüzlerinden yararlanarak, kötü niyetli aktörler zehirlenmiş XML verilerini görev günlüklerine enjekte edebilir, denetim parkurlarının üzerine yazabilir ve hatta tüm güvenlik günlüklerini bozarak kötü niyetli faaliyetlerin kanıtlarını etkili bir şekilde siler.

Denetim parkurları

Görev meta verilerinin ve günlük girişlerinin sıkı bir şekilde doğrulanmasının olmaması, bu tür saldırıları kolaylaştırır.

Bu güvenlik açıklarının en ciddi sonucu, düşük ayrıcalıklı kullanıcıların sistem veya yönetici hesaplarını taklit etme yeteneğidir. Örneğin, düşük ayrıcalıklı bir hesaba erişimi olan bir saldırgan şu olabilir:

  • Bilinen şifrelerle planlanan görevler oluşturun, ardından toplu oturum açma güvenlik açıklarından yararlanarak sisteme ayrıcalıkları artırın.
  • Günlüklerdeki kötü niyetli faaliyetleri gizlemek için meta veri zehirlenmesi tekniklerini kullanın.
  • Dahil olmak üzere güvenlik olay günlüklerinin üzerine yazın Security.evtxmüdahale izlerini etkili bir şekilde siliyor.

Bu ayrıcalık artış ve log manipülasyon kombinasyonu, saldırganların tehlikeye atılan sistemlere kalıcı, gizli erişim sağlayabilmelerini, tespit ve iyileştirmeyi son derece zorlaştırmasını sağlar.

Bu güvenlik açıkları, Windows ortamlarının temel güvenlik varsayımlarını tehdit etmektedir. Kusurlardan yararlanarak:

  • Saldırganlar keyfi komutları sistem olarak yürütebilir ve ana bilgisayar üzerinde tam kontrol sahibi olabilir.
  • Yetkisiz ayrıcalık artışını önlemek için tasarlanmış UAC istemlerini atlayabilirler.
  • Olay yanıt çabalarını engelleyerek denetim günlüklerini manipüle edebilir veya silebilirler.

Cymulation, bu güvenlik açıklarının hedeflenen saldırılarda, fidye yazılımı dağıtımlarında veya kurumsal ağlardaki yanal hareketlerde kullanılabileceği konusunda uyarır. Bu güvenlik açıkları MSRC’ye bildirilmiştir, ancak dikkate alınmamıştır.

Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy



Source link