На прошлой неделе появилась информация о новой уязвимости в планировщике задач Windows, которая позволяет пользователям повысить права до уровня System. Уязвимы все актуальные системы, проверено на Win7 x86-x64 и выше, включая последние серверные системы. На момент написания этой заметки исправление не выпущено, да и после выпуска не все захотят устанавливать кумулятивные обновления для устранения одной критической проблемы, поэтому публикую своё быстрое решение, которое позволит исправить проблему одной командой:

icacls %WinDir%\Tasks /grant:r *S-1-5-11:RX

Она убирает для группы «Прошедшие проверку» право записи данных в устаревший каталог планировщика задач, который не используется системой. При этом никакие другие права доступа не затрагиваются, убирается только корень уязвимости. Особенно рекомендую запустить эту команду на всех серверах, где пользователи с ограниченными правами могут запускать неизвестные программы.

 

Исправление уязвимости в планировщике задач Windows

6 мыслей о “Исправление уязвимости в планировщике задач Windows

  • 07.09.2018 в 13:26
    Постоянная ссылка

    Дурацкий вопрос… А как проверить сработало ли? В исследовательских целях, для проверки корп. компов на безопасность. Или ее можно запускать на всех компах без разбору?

    Ответ
    • 07.09.2018 в 13:39
      Постоянная ссылка

      По ссылке в шапке есть архив PoC-LPE для проверки. Моя команда исправляет проблему на всех уязвимых системах.

      Ответ
  • 17.09.2018 в 11:10
    Постоянная ссылка

    Скажите пожалуйста, а в «Наборе обновлений UpdatePack7R2 версия 18.9.15» это «Исправление уязвимости в планировщике задач Windows» реализовано, и если нет, то почему? Спасибо.

    Ответ
  • 15.12.2019 в 20:38
    Постоянная ссылка

    Я в своём скрипте, после детального анализа прав безопасности на только что установленной системе и со всеми доступными обновами на момент установки, использовал такие комбинации :

    icacls C:\Windows\Tasks
    
                   NT AUTHORITY\Прошедшие проверку:(RX)
                   NT AUTHORITY\Прошедшие проверку:(OI)(CI)(IO)(R)
                   BUILTIN\Администраторы:(OI)(CI)(F)
                   NT AUTHORITY\Система:(OI)(CI)(F)
                   СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)(F)
    
    :RunScript
    cd /d %windir%
    @echo Y|cacls Tasks /s:»D:PAI(A;;0x1200a9;;;AU)(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)(A;OICIIO;FA;;;CO)(A;OICIIO;FR;;;AU)»>nul
    icacls Tasks /setowner *S-1-5-18 /q
    icacls Tasks\* /reset /t /q
    :EndScript
    Ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *