Haavoittuvuus Microsoft Windows Task Scheduler -ohjelmassa

Windows Task Scheduler -ohjelmasta on löydetty haavoittuvuus, joka mahdollistaa paikallisen käyttäjän saamaan korotetut SYSTEM oikeudet.

Microsoft Windows Task Scheduler -ohjelman Advanced Local Procedure Call (ALPC) käsittelystä on löydetty haavoittuvuus, jota hyödyntämällä on mahdollista korottaa paikallisen käyttäjän käyttöoikeudet järjestelmätason (SYSTEM) käyttöoikeuksiksi.

Task Scheduler on Windows-käyttöjärjestelmän mukana toimitettava ohjelma, jonka avulla voidaan ajastaa erilaisten komentojen ja ohjelmien suorittamista tietojärjestelmässä.

Haavoittuvuuden hyväksikäyttömenetelmä (PoC) on julkisesti saatavilla.

Microsoft ei ole vielä julkaissut tiedotetta haavoittuvuudesta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Käyttövaltuuksien laajentaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

64-bittiset Windows versiot:

Microsoft Windows 10
Microsoft Windows 8
Microsoft Windows Server 2012
Microsoft Windows Server 2016

Mahdollisesti myös aiemmat sekä 32-bittiset Windows versiot ovat haavoittuvia julkiselle hyväksikäyttömenetelmälle pienin muutoksin PoC -koodiin.


Ratkaisu- ja rajoitusmahdollisuudet:

Virallista Microsoftin hyväksymää rajoituskeinoa tai korjaavaa ohjelmistopäivitystä ei ole vielä saatavilla.

Haavoittuvuuden hyväksikäyttöä on mahdollista rajoittaa asettamalla Access Control Entry (ACE) hakemistoon 'C:\Windows\Tasks' millä estetään kaikilta käyttäjiltä niin kutsuttujen hard link -viittausten luonti tai estetään kyseiseen hakemistoon kirjoittaminen kokonaan.

Tämän voi tehdä esimerkiksi komennolla:

cacls C:\Windows\Tasks /S:"D:PAI(D;OICI;DCLC;;;WD)(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)" 

Rajoitusmenetelmä olisi hyvä poistaa heti kun korjaava ohjelmistopäivitys on asennettu:

cacls C:\Windows\Tasks /S:"D:PAI(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)" 

Kannattaa kuitenkin aina varmistaa ennen rajoituksen laajempaa käyttöönottoa ettei se aiheuta haittaa oman ympäristön toiminnalle.

Lisätietoa:

https://www.kb.cert.org/vuls/id/906424

Päivityshistoria

Asiasanat: Tietoturva , Nollapäivähaavoittuvuus , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248