安全研究

Windows任務計(jì)劃本地權限提升零日漏洞

漏洞描述

Microsoft Windows任務調度器SchRpcSetSecurity API在處理(lǐ)ALPC時(shí)存在一個漏洞,該漏洞允許經過身份驗證的用(yòng)戶覆蓋應該由文(wén)件系統acl保護的文(wén)件的内容,可以用(yòng)來(lái)獲得系統特權。CERT已經确認,公開(kāi)POC代碼可以在64位的Windows 10和(hé)Windows Server 2016系統上(shàng)實現(xiàn)攻擊,還确認了(le)與32位Windows 10的兼容性,并對(duì)公開(kāi)POC代碼進行了(le)少量修改。通過進一步的修改,可以與其他(tā)Windows版本兼容

漏洞評級

高(gāo)危

影響範圍

Windows 7,8,10(x86 and x64),Windows Server 2008/R2,2012,2016 經過身份驗證的本地用(yòng)戶可以獲得更高(gāo)的(系統)權限

修複建議(yì)

CERT/CC目前不知(zhī)道(dào)這(zhè)個問題的實際解決方案。請(qǐng)考慮以下(xià)解決辦法:
1、部署Microsoft Sysmon檢測規則
Kevin Beaumont提供了(le)創建規則的指導,以檢測利用(yòng)這(zhè)個漏洞。設置C:\Windows\Tasks目錄的acl 策略。
警告:這(zhè)種緩解措施還沒有得到(dào)微軟的批準。然而,在測試中,它确實阻止了(le)這(zhè)個漏洞的利用(yòng)。它似乎還允許調度任務繼續運行,用(yòng)戶可以根據需要繼續創建新的調度任務。然而,據報(bào)道(dào),這(zhè)個更改會(huì)破壞遺留任務調度程序接口創建的東西。這(zhè)包括SCCM和(hé)相關的SCEP更新。請(qǐng)确保您已經測試了(le)這(zhè)種緩解措施,以确保它不會(huì)在您的環境中造成不可接受的後果。
要應用(yòng)這(zhè)個緩解,在一個提升特權提示符中運行以下(xià)命令:
icacls c:\windows\任務/删除:g“認證用(yòng)戶”
icacls c:\ windows \ /拒絕任務系統:(OI)(CI)(WD WDAC)
注意,當對(duì)這(zhè)個漏洞提供了(le)修複程序時(shí),這(zhè)些(xiē)修改應該被撤銷。
Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司