Haavoittuvuus Microsoft Windows Task Scheduler -ohjelmassa
Haavoittuvuus18/2018
Windows Task Scheduler -ohjelmasta on löydetty haavoittuvuus, joka mahdollistaa paikallisen käyttäjän saamaan korotetut SYSTEM oikeudet.
Microsoft Windows Task Scheduler -ohjelman Advanced Local Procedure Call (ALPC) käsittelystä on löydetty haavoittuvuus, jota hyödyntämällä on mahdollista korottaa paikallisen käyttäjän käyttöoikeudet järjestelmätason (SYSTEM) käyttöoikeuksiksi.
Task Scheduler on Windows-käyttöjärjestelmän mukana toimitettava ohjelma, jonka avulla voidaan ajastaa erilaisten komentojen ja ohjelmien suorittamista tietojärjestelmässä.
Haavoittuvuuden hyväksikäyttömenetelmä (PoC) on julkisesti saatavilla.
Microsoft ei ole vielä julkaissut tiedotetta haavoittuvuudesta.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Paikallisesti
Vaikutukset
- Käyttövaltuuksien laajentaminen
Ratkaisu
- Ongelman rajoittaminen
- Ei päivitystä
Haavoittuvuuden kohde
64-bittiset Windows versiot:
Microsoft Windows 10
Microsoft Windows 8
Microsoft Windows Server 2012
Microsoft Windows Server 2016
Mahdollisesti myös aiemmat sekä 32-bittiset Windows versiot ovat haavoittuvia julkiselle hyväksikäyttömenetelmälle pienin muutoksin PoC -koodiin.
Mistä on kysymys?
Virallista Microsoftin hyväksymää rajoituskeinoa tai korjaavaa ohjelmistopäivitystä ei ole vielä saatavilla.
Haavoittuvuuden hyväksikäyttöä on mahdollista rajoittaa asettamalla Access Control Entry (ACE) hakemistoon 'C:\Windows\Tasks' millä estetään kaikilta käyttäjiltä niin kutsuttujen hard link -viittausten luonti tai estetään kyseiseen hakemistoon kirjoittaminen kokonaan.
Tämän voi tehdä esimerkiksi komennolla:
cacls C:\Windows\Tasks /S:"D:PAI(D;OICI;DCLC;;;WD)(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)"
Rajoitusmenetelmä olisi hyvä poistaa heti kun korjaava ohjelmistopäivitys on asennettu:
cacls C:\Windows\Tasks /S:"D:PAI(A;;0x1200ab;;;AU)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;OICIIO;GA;;;CO)"
Kannattaa kuitenkin aina varmistaa ennen rajoituksen laajempaa käyttöönottoa ettei se aiheuta haittaa oman ympäristön toiminnalle.
Mitä voin tehdä?
https://www.kb.cert.org/vuls/id/906424
Alkuperäinen haavoittuvuustiedote julkaistu 28.82018 31.8.2018 Tarkennettu haavoittuvia ohjelmistoja sekä lisätty haavoittuvuuden hyväksikäytön rajoitusmahdollisuus.