記事本文(要約)
サイバーセキュリティ研究者は、Windowsのタスクスケジューリングサービスのコアコンポーネントに存在する4つの脆弱性を特定しました。これらの脆弱性を利用すると、ローカル攻撃者が特権を昇格させたり、ログを消去して不正行為の証拠を隠すことが可能です。問題は「schtasks.exe」というバイナリにあり、ここでUser Account Control(UAC)を回避する脆弱性が見つかっています。
特定の方法でスケジュールされたタスクを作成すると、最大限の権限を持つタスクが実行され、これにより攻撃者が管理者権限で不正なペイロードを実行できるようになります。ただし、この攻撃が成立するには、攻撃者が事前にパスワードを入手する必要があります(例: NTLMv2ハッシュをクラックするなど)。
他にも、バッチログオン認証方式を使い、XMLファイルを介してタスクを登録することで、タスクイベントログの上書きやセキュリティログのオーバーフローを実行可能にし、監査証跡を効果的に消去することができます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 16 Apr 2025 21:48:00 +0530
Original URL: https://thehackernews.com/2025/04/experts-uncover-four-new-privilege.html
詳細な技術情報
- 脆弱性の仕組み
- 脆弱性は、Windowsの”schtasks.exe”というバイナリに存在します。このバイナリは、管理者がローカルまたはリモートコンピュータ上でスケジュールされたタスクを作成、削除、照会、変更、実行、終了するために使用されます。
- 脆弱性の一つは、ユーザーアカウント制御(UAC)をバイパスすることで、ユーザーの承認なしに高特権(SYSTEM)コマンドを実行することが可能になるというものです。
- 攻撃手法
- 攻撃者は、バッチログオン(パスワードを使用)を使用してスケジュールタスクを作成し、タスクスケジューラサービスが実行プロセスに最大許可された権限を付与するように誘導します。
- これにより、低特権のユーザーが”schtasks.exe”を利用して管理者、バックアップオペレーター、パフォーマンスログユーザーなどのグループメンバーを模倣し、最大限の権限を取得できます。
- 登録されたスケジュールタスクがXMLファイルを用いて作成される場合、防御回避技術が使用される可能性があり、タスクイベントログを上書きし、以前の活動の監査トレイルを削除できます。
- 潜在的な影響
- 攻撃者は、管理者権限を取得し、機密データへの不正アクセス、データの盗難、システムのさらなる侵害を行う可能性があります。
- ログファイルの上書きを通じて、監査証跡を削除し、侵入の痕跡を残さないようにすることが可能です。
- 推奨される対策
- Microsoftによるパッチ適用: 報告された脆弱性には、公式なセキュリティアップデート(例: CVE-2023-21726)が提供されている場合があります。システム管理者は、最新のセキュリティパッチを適用するようにしてください。
- ログ監視の強化: セキュリティログやイベントの監視を強化し、異常な動作や特権昇格の試みを即座に検知できるように設定します。
- アクセス制御の見直し: タスクスケジューラやその他の管理者権限が必要なサービスへのアクセス権を最小限に抑え、不必要なアクセスを制限します。
- セキュリティポリシーの見直し: ユーザーアカウント制御の設定を見直し、強化されたセキュリティモードを活用して不必要な昇格を防止します。
