В планировщике задач Windows выявили сразу четыре 0day-бреши

Сразу четыре новых уязвимости были обнаружены в одном из ключевых компонентов Windows — планировщике задач, что открывает возможность для локальных атак с повышением привилегий. Исследование показывает, что злоумышленники могут не только получить доступ к правам администратора, но и скрыть следы своей активности, подчищая журналы событий.

Речь идёт о бинарном файле «schtasks.exe», который используется для управления задачами как на локальных, так и на удалённых компьютерах. Именно в его работе эксперты выявили критические недостатки, способные позволить обойти стандартные механизмы защиты, включая контроль учётных записей пользователей (UAC).

По данным компании Cymulate, одна из уязвимостей позволяет запустить процессы от имени SYSTEM без запроса подтверждения пользователя. Это достигается за счёт создания задачи с использованием метода Batch Logon — когда для входа используется пароль, а не интерактивный токен. Такая задача выполняется с максимальными доступными правами, что превращает её в удобный инструмент для запуска вредоносных скриптов.

Однако ключевым условием эксплуатации остаётся необходимость получения действующего пароля целевой учётной записи. Сделать это можно, например, через перехват и расшифровку NTLMv2-хэшей при аутентификации на SMB-сервере или с помощью уязвимостей вроде CVE-2023-21726 .

Если пароль известен, то даже низкоуровневая учётная запись способна «прикинуться» администратором, оператором резервного копирования или пользователем логов производительности. Всё это осуществляется с помощью стандартной утилиты Windows и флагов «/ru» и «/rp», указывающих имя пользователя и пароль.

Отдельное внимание уделено методам сокрытия следов. Исследователи показали, как через XML-файл задачи можно создать имя автора длиной более 3500 символов. Это приводит к переполнению описания задачи в логах и стиранию информации о предыдущих действиях. Ещё один трюк позволяет повредить базу журнала безопасности, находящуюся по пути «C:\Windows\System32\winevt\logs\Security.evtx», — по сути, уничтожив критически важные записи аудита .

Таким образом, планировщик задач становится не только средством запуска процессов, но и потенциальным инструментом для атак с максимально возможным уровнем доступа. Он доступен всем пользователям и управляется сервисом, работающим от имени SYSTEM, что даёт широкие возможности для манипуляций с правами, целостностью процессов и механизмами имперсонации.

Исследование подчёркивает, насколько недооценённой может быть роль встроенных системных утилит в контексте безопасности. Обычный командный инструмент превращается в лазейку, с помощью которой можно обойти контроль доступа, получить привилегии и стереть цифровые следы.

Несмотря на подробные технические описания и потенциальные риски, Microsoft не признала ни один из представленных отчётов в рамках MSRC в качестве уязвимости. Таким образом, изменения в работе «schtasks.exe» и меры по устранению выявленных проблем официально пока не планируются, что оставляет описанные в исследовании возможности доступными для локальной эксплуатации.