吳明宜網路安全研究人員發現 Windows 任務排程服務一個核心元件有 4 項漏洞,可能被本地端攻擊者提升權限,而刪改 Log 檔,掩飾惡意活動。
4 項漏洞出現在 Windows 任務排程的二進位檔 schtasks.exe 中,該元件可讓管理員新增、刪除、查詢、執行和結束本地或遠端電腦的排程工作。 Cymulate 安全研究人員 Ruben Enkaoua 指出,Windows 任務排程中的使用者帳號跳過 (User Account Control, UAC) 提示,使其得以在無需用戶允許下,執行高特權 (SYSTEM) 指令。
攻擊者必須先透過其他管道取得密碼,像是驗證進入 SMB 伺服器或濫用 CVE-2023-21726 等漏洞破解 NTLMv2 雜湊,使攻擊者利用 Batch Logon(即密碼),而非互動式 token 建立排程時,冒充群組成員如管理員、 Backup Operator 、 Performance Log User,以最大權限執行行程,導致未經授權存取、竊取資料或進一步破壞系統。
研究人員提醒,「任何人都能用 Windows 任務排程元件來建立排程、在不同權限角色來回、破壞行程及冒充使用者。這不只是 UAC Bypass 漏洞,基本上,它相當危險,駭客可以/ru 與/rp 參數註冊任務,從 CLI 以密碼冒充任何人、提升權限。」
此外,利用 Batch Logon 驗證方法以 XML 檔案註冊排程任務,也給了攻擊者躲避偵測的機會,使他們可以覆寫 Task Event Log,藉此抹除惡意活動的稽核紀錄,而且還能也能覆寫 Security Log 。方法是將 XML 檔案取超長的作者名,長到覆寫掉整個 XML task log 描述。這行為又可用來覆寫 Security Log 檔(Security.evtx 檔),以隱藏惡意活動蹤跡。