Новый эксплойт 0-day использует ошибку в планировщике задач Windows 10
Разработчик SandboxEscaper продемонстрировал новый эксплойт 0-day для операционной системы Windows через неделю после ежемесячного цикла обновлений безопасности Microsoft.
Он обеспечивает локальное повышение привилегий, предоставляя ограниченному пользователю полный контроль над файлами, зарезервированными для пользователей с полными привилегиями, таких как SYSTEM и TrustedInstaller.
SandboxEscaper использует утилиту планировщика задач для импорта устаревших задач из других систем. Во времена Windows XP задачи были в формате .JOB, и они все еще могут быть добавлены в более новые версии операционной системы.
Это происходит, если Task Scheduler импортирует файл JOB с произвольными правами управления DACL (списком контроля доступа). В отсутствие DACL система предоставляет любому пользователю полный доступ к файлу.
Исследователь объясняет, что эта ошибка может быть использована путем импорта устаревших файлов задач в планировщик задач в Windows 10. Запуск команды с использованием исполняемых файлов «schtasks.exe» и «schedsvc.dll», скопированных из старой системы, приводит к удаленному вызову процедуры (RPC). ) в "_SchRpcRegisterTask" - метод, который регистрирует задачу на сервере, предоставляемую службой планировщика заданий.
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/
Он обеспечивает локальное повышение привилегий, предоставляя ограниченному пользователю полный контроль над файлами, зарезервированными для пользователей с полными привилегиями, таких как SYSTEM и TrustedInstaller.
SandboxEscaper использует утилиту планировщика задач для импорта устаревших задач из других систем. Во времена Windows XP задачи были в формате .JOB, и они все еще могут быть добавлены в более новые версии операционной системы.
Это происходит, если Task Scheduler импортирует файл JOB с произвольными правами управления DACL (списком контроля доступа). В отсутствие DACL система предоставляет любому пользователю полный доступ к файлу.
Исследователь объясняет, что эта ошибка может быть использована путем импорта устаревших файлов задач в планировщик задач в Windows 10. Запуск команды с использованием исполняемых файлов «schtasks.exe» и «schedsvc.dll», скопированных из старой системы, приводит к удаленному вызову процедуры (RPC). ) в "_SchRpcRegisterTask" - метод, который регистрирует задачу на сервере, предоставляемую службой планировщика заданий.
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.