【 資安警訊 】- Windows 工作排程工具遭揭多項弱點,恐被濫用於提升 SYSTEM 權限
發布編號:OIS-CTI-2025-04-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
資安公司 Cymulate 揭露 Windows 工作排程工具可被濫用進行 UAC 繞過與 SYSTEM 提升權限,並透過後設資料覆寫事件記錄,可能造成事件後續調查困難。
圖片來源:iThome
資安公司 Cymulate 研究人員揭露 Windows 作業系統中的工作排程工具 schtasks.exe,存在多項可被濫用的安全弱點,攻擊者可透過合法命令列參數及任務排程 XML 檔案,在特定條件下繞過使用者帳戶控制(UAC)提示,並以 SYSTEM 權限執行任意程式。研究人員指出,這些行為雖未被微軟視為漏洞,但其設計邏輯仍可能被惡意人士作為提升權限、橫向移動或隱匿行蹤的工具。
schtasks.exe 為 Windows 任務排程元件的一部分,允許使用者以排程方式執行程式。研究人員發現,當攻擊者已知系統中具有 Batch Logon 權限帳號的密碼,便可透過 /ru 與 /rp 參數註冊任務,並在任務設定 XML 中指定以該帳號執行,即可觸發系統層級的執行環境,進而執行高權限指令,達到 UAC 繞過與提升權限效果。
除了提升權限機制外,該研究也揭露兩項與規避防護有關的技術。一是可利用 XML 檔案中的Author 欄位輸入超長字串,造成事件記錄中 4698 號任務建立事件的 TaskContent 欄位被覆寫,而隱藏任務內容與惡意指令。另一則是透過建立大量含有龐大後設資料的排程任務,在短時間內填滿預設上限為 20 MB的Security.evtx 安全事件記錄檔,導致事件記錄失效,阻礙後續數位取證與追蹤。
值得關注的是,研究證實這些後設資料與記錄覆寫行為,可透過 RPC(Remote Procedure Call)方式遠端觸發。研究人員進一步指出,任務排程服務於註冊任務時,並未對後設資料欄位長度加以限制,導致以信任使用者輸入為基礎的事件記錄內容成為攻擊介面。此外,這些後設資料內容也會寫入登錄機碼 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache,當有安全產品以此作為判斷任務可信度依據,也可能受到誤導。
針對 Cymulate 研究人員提出的安全質疑,微軟安全回應中心(MSRC)回覆表示,Author 欄位與RegistrationInfo 區塊僅為儲存一般任務資訊而設計,並非安全用途,因此不構成漏洞。不過,研究人員認為,使用者與資安人員仍應注意被惡意濫用的系統設計,特別是在系統管理工具與事件記錄這些高度仰賴預設行為可信度的情境。
此研究顯示即便未涉及程式錯誤或明確漏洞,攻擊者仍可結合系統設計邏輯與已知帳密,進行權限提升與事件隱匿。研究人員建議企業優先檢視工作排程相關活動與記錄異常,並強化敏感帳號密碼控管、調整事件記錄容量上限設定與 UAC 政策強化,以降低遭濫用風險。
影響平台:
Microsoft Windows
建議措施:
定期檢視工作排程相關活動與記錄異常
強化敏感帳號密碼控管。
調整事件記錄容量上限設定。
設定 UAC 政策強化,以降低遭濫用風險。
參考連結 :
https://www.ithome.com.tw/news/168502