Los investigadores de ciberseguridad han detallado cuatro vulnerabilidades diferentes en un componente central del servicio de programación de tareas de Windows que podría ser explotado por los atacantes locales para conquistar una subida privilegiada y borrar registros para encubrir evidencia de actividades maliciosas.
Los problemas se han descubierto en un binario llamado “Schtasks.exe”, que permite a un administrador crear, eliminar, consultar, cambiar, ejecutar y finalizar tareas programadas en una computadora nave o remota.
“Se ha contrario una vulnerabilidad de derivación (control de la cuenta del usufructuario) en Microsoft Windows, lo que permite a los atacantes suprimir el indicador de control de la cuenta del usufructuario, lo que les permite ejecutar comandos de detención privilegio (sistema) sin la aprobación del usufructuario”, dijo el investigador de seguridad de Cymule, Ruben Enkaoua, en un documentación compartido con Hacker News.
“Al explotar esta pasión, los atacantes pueden elevar sus privilegios y ejecutar cargas bártulos maliciosas con los derechos de los administradores, lo que lleva a un llegada no calificado, robo de datos o un longevo compromiso del sistema”.
El problema, dijo la compañía de seguridad cibernética, ocurre cuando un atacante crea una tarea programada utilizando el inicio de sesión por lotes (es asegurar, una contraseña) en comparación con un token interactivo, lo que hace que el servicio de programador de tareas otorgue al proceso de ejecución los derechos máximos permitidos.
Sin secuestro, para que este ataque funcione, depende del actor de amenaza que adquiera la contraseña a través de otros medios, como descifrar un hash NTLMV2 posteriormente de autenticarse contra un servidor SMB o explotar fallas como CVE-2023-21726.
Un resultado neto de este problema es que un usufructuario de bajo privilegio puede exprimir el binario schtasks.exe y suplantar a un miembro de grupos como administradores, operadores de respaldo y usuarios de registros de rendimiento con una contraseña conocida para obtener los privilegios máximos permitidos.
El registro de una tarea programada utilizando un método de autenticación de inicio de sesión por lotes con un archivo XML todavía puede allanar el camino para dos técnicas de esparcimiento de defensa que permiten sobrescribir el registro de eventos de tareas, borrando efectivamente los senderos de auditoría de la actividad previa, así como los registros de seguridad de desbordamiento.
Específicamente, esto implica registrar una tarea con un autor con el nombre, digamos, donde la símbolo A se repite 3.500 veces, en el archivo XML, lo que hace que toda la descripción del registro de tareas XML se sobrescriba. Este comportamiento podría ocupar aún más para sobrescribir toda la almohadilla de datos “C: Windows System32 Winevt logs Security.evtx”.
“El planificador de tareas es un componente muy interesante. Accesible por cualquier persona dispuesta a crear una tarea, iniciada por un sistema que ejecute el servicio, haciendo malabares entre los privilegios, las integridades de procesos y las personificaciones del usufructuario”, dijo Enkaoua.
“La primera vulnerabilidad reportada no es solo un bypass de UAC. Es mucho más que eso: es esencialmente una forma de hacerse producirse por el usufructuario con su contraseña de CLI y obtener los privilegios máximos otorgados en la sesión de ejecución de tareas, con las banderas /Ru y /RP”.
