Исследователи выявили ряд критических уязвимостей в планировщике задач Windows (schtasks.exe), позволяющих злоумышленникам обходить контроль учетных записей (UAC), повышать привилегии до уровня SYSTEM, маскировать вредоносные действия и переполнять журналы безопасности.
Одна из уязвимостей позволяет обойти самый высокий уровень UAC, создавая задачи через schtasks.exe с использованием Batch Logon и учетных данных администратора. Это позволяет выполнять команды с правами SYSTEM без ведома пользователя. Ключевая особенность — выполнение задачи от имени пользователя с максимальными доступными правами.
Кроме того, были обнаружены техники обхода защиты (Defense Evasion), связанные с отравлением метаданных и журналов событий. Через манипуляции с тегом <Author> в XML-файле задачи можно подделывать информацию о происхождении задачи, маскируя её под системную. Эта информация сохраняется в реестре и используется в логах событий (Event ID 4698), что может вводить в заблуждение системы мониторинга.
Также была разработана техника, позволяющая переполнять Security.evtx — основной файл журнала безопасности. Повторное создание задач с завышенными метаданными приводит к замещению содержимого лога. Запуск скрипта из 2280 задач может полностью перезаписать стандартный 20 МБ лог безопасности Windows менее чем за две минуты, затрудняя расследование инцидента.
Исследование указывает, что используемые уязвимости основаны на слабом контроле буфера, доверии к входным данным и отсутствии ограничений на регистрацию задач. Несмотря на серьезность, Microsoft не признала эти находки уязвимостями.
Технические детали:
Исследование подчеркивает, насколько недооценённым остаётся потенциал schtasks.exe в руках злоумышленника, особенно в контексте эскалации привилегий и сокрытия следов.
Одна из уязвимостей позволяет обойти самый высокий уровень UAC, создавая задачи через schtasks.exe с использованием Batch Logon и учетных данных администратора. Это позволяет выполнять команды с правами SYSTEM без ведома пользователя. Ключевая особенность — выполнение задачи от имени пользователя с максимальными доступными правами.
Кроме того, были обнаружены техники обхода защиты (Defense Evasion), связанные с отравлением метаданных и журналов событий. Через манипуляции с тегом <Author> в XML-файле задачи можно подделывать информацию о происхождении задачи, маскируя её под системную. Эта информация сохраняется в реестре и используется в логах событий (Event ID 4698), что может вводить в заблуждение системы мониторинга.
Также была разработана техника, позволяющая переполнять Security.evtx — основной файл журнала безопасности. Повторное создание задач с завышенными метаданными приводит к замещению содержимого лога. Запуск скрипта из 2280 задач может полностью перезаписать стандартный 20 МБ лог безопасности Windows менее чем за две минуты, затрудняя расследование инцидента.
Исследование указывает, что используемые уязвимости основаны на слабом контроле буфера, доверии к входным данным и отсутствии ограничений на регистрацию задач. Несмотря на серьезность, Microsoft не признала эти находки уязвимостями.
Технические детали:
- Обход UAC с помощью /ru и /rp при Batch Logon
- CWE-117 и CWE-400: отравление и переполнение логов событий
- Переполнение Security.evtx за счёт спама XML-задач с увеличенным тегом <Author>
- Возможность подмены авторства задач, включая TrustedInstaller
- Эксплуатация групп с правами Batch Logon: Administrators, Backup Operators, Performance Log Users
Исследование подчеркивает, насколько недооценённым остаётся потенциал schtasks.exe в руках злоумышленника, особенно в контексте эскалации привилегий и сокрытия следов.
