Los investigadores de ciberseguridad han detallado cuatro vulnerabilidades diferentes en un componente central del servicio de programación de tareas de Windows que podría ser explotado por los atacantes locales para conquistar una subida privilegiada y borrar registros para encubrir evidencia de actividades maliciosas.
Los problemas se han descubierto en un binario llamado «Schtasks.exe», que permite a un administrador crear, eliminar, consultar, cambiar, ejecutar y finalizar tareas programadas en una computadora tópico o remota.
«Se ha opuesto una vulnerabilidad de derivación (control de la cuenta del adjudicatario) en Microsoft Windows, lo que permite a los atacantes eliminar el indicador de control de la cuenta del adjudicatario, lo que les permite ejecutar comandos de detención privilegio (sistema) sin la aprobación del adjudicatario», dijo el investigador de seguridad de Cymule, Ruben Enkaoua, en un noticia compartido con Hacker News.
«Al explotar esta afición, los atacantes pueden elevar sus privilegios y ejecutar cargas avíos maliciosas con los derechos de los administradores, lo que lleva a un ataque no competente, robo de datos o un veterano compromiso del sistema».
El problema, dijo la compañía de seguridad cibernética, ocurre cuando un atacante crea una tarea programada utilizando el inicio de sesión por lotes (es aseverar, una contraseña) en comparación con un token interactivo, lo que hace que el servicio de programador de tareas otorgue al proceso de ejecución los derechos máximos permitidos.
Sin secuestro, para que este ataque funcione, depende del actor de amenaza que adquiera la contraseña a través de otros medios, como descifrar un hash NTLMV2 a posteriori de autenticarse contra un servidor SMB o explotar fallas como CVE-2023-21726.
Un resultado neto de este problema es que un adjudicatario de bajo privilegio puede emplear el binario schtasks.exe y suplantar a un miembro de grupos como administradores, operadores de respaldo y usuarios de registros de rendimiento con una contraseña conocida para obtener los privilegios máximos permitidos.
El registro de una tarea programada utilizando un método de autenticación de inicio de sesión por lotes con un archivo XML asimismo puede allanar el camino para dos técnicas de diversión de defensa que permiten sobrescribir el registro de eventos de tareas, borrando efectivamente los senderos de auditoría de la actividad previa, así como los registros de seguridad de desbordamiento.
Específicamente, esto implica registrar una tarea con un autor con el nombre, digamos, donde la romance A se repite 3.500 veces, en el archivo XML, lo que hace que toda la descripción del registro de tareas XML se sobrescriba. Este comportamiento podría prolongarse aún más para sobrescribir toda la saco de datos «C: Windows System32 Winevt logs Security.evtx».
«El planificador de tareas es un componente muy interesante. Accesible por cualquier persona dispuesta a crear una tarea, iniciada por un sistema que ejecute el servicio, haciendo malabares entre los privilegios, las integridades de procesos y las personificaciones del adjudicatario», dijo Enkaoua.
«La primera vulnerabilidad reportada no es solo un bypass de UAC. Es mucho más que eso: es esencialmente una forma de hacerse ocurrir por el adjudicatario con su contraseña de CLI y obtener los privilegios máximos otorgados en la sesión de ejecución de tareas, con las banderas /Ru y /RP».
