Pesquisadores de cibersegurança detalharam quatro diferentes vulnerabilidades em um componente central do serviço de agendamento de tarefas do Windows que poderiam ser exploradas por atacantes locais para alcançar a escalada de privilégios e apagar logs para encobrir evidências de atividades maliciosas.
As questões foram descobertas em um binário nomeado "schtasks.exe", que permite a um administrador criar, deletar, consultar, alterar, executar e encerrar tarefas agendadas em um computador local ou remoto.
"Uma vulnerabilidade de bypass do [User Account Control] foi encontrada no Microsoft Windows, permitindo aos atacantes contornar o prompt do User Account Control, possibilitando-lhes executar comandos de alto privilégio (SYSTEM) sem a aprovação do usuário", disse o pesquisador de segurança da Cymulate, Ruben Enkaoua, em um relatório compartilhado.
Ao explorarem essa fraqueza, os atacantes podem elevar seus privilégios e executar payloads maliciosos com direitos de Administradores, levando a acesso não autorizado, roubo de dados ou comprometimento adicional do sistema.
O problema, disse a empresa de cibersegurança, ocorre quando um atacante cria uma tarefa agendada usando o login em Batch (ou seja, uma senha) ao invés de um Token Interativo, fazendo com que o serviço de agendador de tarefas conceda ao processo em execução os direitos máximos permitidos.
No entanto, para que este ataque funcione, depende do ator de ameaça adquirir a senha por outros meios, como quebrar um hash NTLMv2 após a autenticação contra um servidor SMB ou explorar falhas como
CVE-2023-21726
.
Um resultado líquido dessa questão é que um usuário com privilégios baixos pode aproveitar o binário schtasks.exe e se passar por membro de grupos como Administradores, Operadores de Backup e Usuários de Log de Desempenho com uma senha conhecida para obter os privilégios máximos permitidos.
O registro de uma tarefa agendada usando um método de autenticação de login em Batch com um arquivo XML também pode abrir caminho para duas técnicas de evasão de defesa que tornam possível sobrescrever o Log de Eventos de Tarefa, efetivamente apagando rastros de auditoria de atividades anteriores, bem como transbordar Logs de Segurança.
Especificamente, isso envolve registrar uma tarefa com um autor com o nome, digamos, onde a letra A é repetida 3.500 vezes, no arquivo XML, fazendo com que toda a descrição do log de tarefa XML seja sobrescrita.
Esse comportamento poderia então ser estendido ainda mais para sobrescrever todo o banco de dados "C:\Windows\System32\winevt\logs\Security.evtx".
"O Agendador de Tarefas é um componente muito interessante.
Acessível por qualquer um disposto a criar uma tarefa, iniciado por um serviço em execução do SYSTEM, alternando entre os privilégios, as integridades de processo e as impersonações de usuário", disse Enkaoua.
A primeira vulnerabilidade relatada não é apenas um Bypass de UAC.
É muito mais do que isso: é essencialmente uma maneira de se passar por qualquer usuário com sua senha a partir da CLI e obter os privilégios máximos concedidos na sessão de execução da tarefa, com as flags /ru e /rp.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...