Windows任务计划程序被曝存在0 day漏洞

最近,研究人员在Windows任务计划程序的API中发现了一个安全漏洞,该漏洞是由API函数未验证请求权限引起的,该漏洞允许任何本地攻击者实施授权。 研究人员表示,这个为期0天的漏洞存在于微软的...

最近,研究人员在Windows任务计划程序的API中发现了一个安全漏洞,该漏洞是由API函数未验证请求权限引起的,该漏洞允许任何本地攻击者实施授权。

研究人员表示,这个为期0天的漏洞存在于微软的Windows任务计划程序中,这将允许攻击者升级目标主机上的权限。 Windows 10和Windows Server 2016 64位操作系统任务计划程序的高级本地程序调用(ALPC)界面中存在此漏洞。在这两个版本的操作系统中,ALPC的API函数无法正确验证请求权限。因此,任何本地攻击者都可以修改请求数据。 根据CERT发布的安全公告:“研究人员已确认漏洞利用代码可以在64位Windows 10和Windows Server 2016操作系统上运行。此外,修改现有的公共漏洞利用代码。后来,也可以适用于其他版本的Windows操作系统。“ 利用代码和PoC获取地址:[传输门] 利用代码分析 研究员Kevin Beaumont表示,漏洞利用代码利用SchRpcSetSecurity来修改API权限,并允许攻击者创建硬链接,然后使用XPS打印机调用打印作业(从Windows XP SP2),最后通过Spooler。该进程使用SYSTEM权限调用被劫持的恶意DLL。 计划任务是Microsoft Windows操作系统的一项功能,允许用户设置程序的启动时间。函数的ALPC接口实际上是Windows操作系统组件用于实现消息传输的进程通信函数。在此接口中,SchRpcSetSecurity是开放访问,因此任何人都可以无限制地访问控制列表,这意味着他们可以随意设置本地文件权限。

但是,成功使用此漏洞具有一定的局限性。为了实现提升权,攻击者需要成为本地用户并且需要获得代码执行的高优先级。此外,如果要将此漏洞利用代码应用于32位操作系统,则需要对代码进行一些修改。漏洞利用代码也对prnms003驱动程序进行硬编码,而Windows 7等操作系统的其他版本使用prnms001。 研究员Will Dormann还表示,根据他的测试结果,漏洞利用代码也适用于最新版本的64位Windows 10操作系统。 CVSS评估系统将漏洞的威胁评分设置为6.4到6.8,因此漏洞是一个“中等风险漏洞”。 在撰写本文时,漏洞尚未得到修复。 *参考源:threatpost,FB编辑Alpha_h4ck编译,从FreeBuf转移 黑客业务列表介绍和一般分类: 类别:攻击入侵破解开发 1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量] 2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。 3:破解业务类:软件,加密文件,二次打包,脱壳等。 4:二次开发业务清单:软件二次开发,源代码二次开发等 5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等 备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明 注意:仅接受正式业务,个人无权接受。收集此内容。