
Los investigadores de ciberseguridad han detallado cuatro vulnerabilidades diferentes en un componente central de Windows servicio de programación de tareas Eso podría ser explotado por los atacantes locales para lograr la escalada de privilegios y borrar los registros para encubrir la evidencia de actividades maliciosas.
Los problemas se han descubierto en un binario nombrado “schtasks.exe“que permite a un administrador crear, eliminar, consultar, cambiar, ejecutar y finalizar tareas programadas en una computadora local o remota.
“A [User Account Control] La vulnerabilidad de omisión se ha encontrado en Microsoft Windows, lo que permite a los atacantes omitir el indicador de control de la cuenta del usuario, lo que les permite ejecutar comandos de alto privilegio (sistema) sin la aprobación del usuario “, el investigador de seguridad de Cymulate Ruben Enkaoua dicho En un informe compartido con The Hacker News.
“Al explotar esta debilidad, los atacantes pueden elevar sus privilegios y ejecutar cargas útiles maliciosas con los derechos de los administradores, lo que lleva a un acceso no autorizado, robo de datos o un mayor compromiso del sistema”.
El problema, dijo la compañía de ciberseguridad, ocurre cuando un atacante crea una tarea programada Usando el inicio de sesión por lotes (es decir, una contraseña) en lugar de un token interactivo, lo que hace que el servicio de programador de tareas otorgue al proceso de ejecución los derechos máximos permitidos.
Sin embargo, para que este ataque funcione, depende del actor de amenaza que adquiere la contraseña a través de otros medios, como descifrar un hash NTLMV2 después de autenticarse contra un servidor SMB o explotar defectos como CVE-2023-21726.
Un resultado neto de este problema es que un usuario de bajo privilegio puede aprovechar el binario schtasks.exe y suplantar a un miembro de grupos como administradores, operadores de respaldo y usuarios de registros de rendimiento con una contraseña conocida para obtener los privilegios máximos permitidos.
El registro de una tarea programada utilizando un método de autenticación de inicio de sesión por lotes con un archivo XML también puede allanar el camino para dos técnicas de evasión de defensa que hacen que sea posible sobrescribir Registro de eventos de tareasborrando efectivamente los senderos de auditoría de la actividad anterior, así como los registros de seguridad de desbordamiento.
Específicamente, esto implica registrar una tarea con un autor Con el nombre, digamos, donde la letra A se repite 3.500 veces, en el archivo XML, lo que hace que toda la descripción del registro de tareas XML se sobrescriba. Este comportamiento podría extenderse aún más para sobrescribir todo el “C: Windows System32 Winevt logs Security.Evtx“Base de datos.
“El planificador de tareas es un componente muy interesante. Accesible por cualquier persona dispuesta a crear una tarea, iniciada por un sistema que ejecute el servicio, haciendo malabares entre los privilegios, las integridades de procesos y las personificaciones del usuario”, dijo Enkaoua.
“La primera vulnerabilidad reportada no es solo un bypass de UAC. Es mucho más que eso: es esencialmente una forma de hacerse pasar por el usuario con su contraseña de CLI y obtener los privilegios máximos otorgados en la sesión de ejecución de tareas, con las banderas /Ru y /RP”.





