漏洞描述
Microsoft Windows任務調度器SchRpcSetSecurity API在處理(lǐ)ALPC時存在一(yī)個漏洞,該漏洞允許經過身份驗證的(de)用戶覆蓋應該由文件系統acl保護的(de)文件的(de)內(nèi)容,可(kě)以用來獲得系統特權。CERT已經确認,公開POC代碼可(kě)以在64位的(de)Windows 10和(hé)Windows Server 2016系統上實現攻擊,還确認了與32位Windows 10的(de)兼容性,并對公開POC代碼進行(xíng)了少量修改。通過進一(yī)步的(de)修改,可(kě)以與其他Windows版本兼容。
漏洞評級
高(gāo)危
影響範圍
Windows 7,8,10(x86 and x64),Windows Server 2008/R2,2012,2016 經過身份驗證的(de)本地(dì)用戶可(kě)以獲得更高(gāo)的(de)(系統)權限。
修複建議
CERT/CC目前不知道(dào)這個問題的(de)實際解決方案。請考慮以下解決辦法: 1、部署Microsoft Sysmon檢測規則 Kevin Beaumont提供了創建規則的(de)指導,以檢測利用這個漏洞。設置C:\Windows\Tasks目錄的(de)acl 策略。 警告:這種緩解措施還沒有(yǒu)得到微軟的(de)批準。然而,在測試中,它确實阻止了這個漏洞的(de)利用。它似乎還允許調度任務繼續運行(xíng),用戶可(kě)以根據需要繼續創建新的(de)調度任務。然而,據報道(dào),這個更改會破壞遺留任務調度程序接口創建的(de)東西。這包括SCCM和(hé)相關的(de)SCEP更新。請确保您已經測試了這種緩解措施,以确保它不會在您的(de)環境中造成不可(kě)接受的(de)後果。 要應用這個緩解,在一(yī)個提升特權提示符中運行(xíng)以下命令: icacls c:\windows\任務/删除:g“認證用戶” icacls c:\ windows \ /拒絕任務系統:(OI)(CI)(WD WDAC) 注意,當對這個漏洞提供了修複程序時,這些修改應該被撤銷。