微软在周二发布每月补丁程序后的几天,一名安全研究人员带着SandboxEscaper的手,在Windows 10的Task Scheduler中发布了一个零日漏洞的利用代码。 这是SandboxEscaper披露的其他一系列概念验证(PoC)和漏洞利用代码的其中之一。
云安全智能防护套件和企业安全无忧版中包含的趋势科技高级行为监控解决方案可以主动阻止可能利用此漏洞的威胁。 建议趋势科技客户在各自的产品中启用此功能。
这是对漏洞CVE-2019-1069的分析。 没有狂野攻击的报道,但趋势科技正在积极监视PoC已被武器化的任何迹象。
以下是安全漏洞的概述: 漏洞是什么?
此漏洞是Task Scheduler中的本地特权升级漏洞,该实用程序可让用户在指定时间自动执行任务。 SandBoxEscaper披露的安全漏洞与任务计划程序导入旧版.JOB文件(例如,从Windows XP或Vista导入的文件)的方式有关,该文件包含任务的配置。 漏洞是如何触发的?
任务计划程序服务以本地计算机定义的最大特权级别运行,即NT AUTHORITY \ SYSTEM。 它通过RPC接受某些请求,从而允许客户端管理在计算机上安排的任务。 低特权客户端也可以使用此接口,但是它们仅限于定义将使用客户端拥有的凭据运行的任务。
任务计划程序将任务存储为文件。 有两个位置。 第一个C:\ Windows \ Tasks是旧位置。 用于所有新任务的第二个位置是C:\ Windows \ System32 \ Tasks。 我们将其称为“首选”文件夹。 如果RPC客户端使用该服务来修改在旧位置C:\ Windows \ Tasks中表示的任务,则当该服务保存所做的修改时,该任务将被迁移到C:\ Windows \ System32 \的首选位置。 任务。
将任务文件保存到首选位置时,该服务将在文件上设置安全性信息,以授予所有权和对任务所有者的完全控制权。 至关重要的是,任务计划程序服务使用其自己的高度特权的SYSTEM令牌执行此操作。
对两个任务文件夹的权限允许所有经过身份验证的用户在这些文件夹中创建文件。 这样的结果是,客户端可以手动将文件放在旧文件夹中,然后利用任务计划程序将任务迁移到首选文件夹。
这种特殊的行为组合为硬链接攻击留下了可能。 攻击的基本步骤如下: 创建一个新任务。 用指向任意目标文件的硬链接替换首选文件夹中的文件。 手动将具有相同名称的新任务放入旧文件夹。 使用任务计划程序RPC界面将任务迁移到首选文件夹。 Task Scheduler服务将更新首选文件夹中文件的安全性信息,将所有权和完全控制权授予攻击者。 由于此文件实际上是硬链接,因此此安全信息将应用于目标文件。
借此,攻击者可以完全控制Windows 10所有版本上的任何本地文件。 PoC /漏洞利用程序正常工作吗? 是的。 其他安全研究人员已验证PoC是否有效。 计算机紧急响应小组(CERT)发布了一份公告,确认PoC可在受影响的操作系统上运行。 谁受此漏洞影响?
该漏洞影响以下操作系统的用户:32位和64位Windows 10,Windows Server 2016和2019。Windows8也受到影响,但仅限于当前用户对文件的访问。 该漏洞有什么影响?
成功利用此漏洞将使攻击者可以访问通常受保护的文件。 由于它是与权限相关的缺陷,因此攻击者还可以将此漏洞链接起来,以将低权限升级为管理员级别的访问权限。 然后可以用来劫持受影响的系统。 如何减轻与该漏洞相关的风险?
限制任务计划程序的使用并强制执行最小特权原则,有助于防止不受信任的用户在系统/端点上运行代码。 主动监视用户活动还有助于检测系统上的可疑行为。
目前,微软表示,他们目前正在致力于解决该安全漏洞的更新。 已于2019年6月2日下午6:30更新。 PDT将包含有关如何触发漏洞的附加分析。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
