漏洞描述
Microsoft Windows任务调度器SchRpcSetSecurity API在处理ALPC时存在一个漏洞,该漏洞允许经过身份验证的用户覆盖应该由文件系统acl保护的文件的内容,可以用来获得系统特权。CERT已经确认,公开POC代码可以在64位的Windows 10和Windows Server 2016系统上实现攻击,还确认了与32位Windows 10的兼容性,并对公开POC代码进行了少量修改。通过进一步的修改,可以与其他Windows版本兼容。
漏洞评级
高危
影响范围
Windows 7,8,10(x86 and x64),Windows Server 2008/R2,2012,2016 经过身份验证的本地用户可以获得更高的(系统)权限。
修复建议
CERT/CC目前不知道这个问题的实际解决方案。请考虑以下解决办法: 1、部署Microsoft Sysmon检测规则 Kevin Beaumont提供了创建规则的指导,以检测利用这个漏洞。设置C:\Windows\Tasks目录的acl 策略。 警告:这种缓解措施还没有得到微软的批准。然而,在测试中,它确实阻止了这个漏洞的利用。它似乎还允许调度任务继续运行,用户可以根据需要继续创建新的调度任务。然而,据报道,这个更改会破坏遗留任务调度程序接口创建的东西。这包括SCCM和相关的SCEP更新。请确保您已经测试了这种缓解措施,以确保它不会在您的环境中造成不可接受的后果。 要应用这个缓解,在一个提升特权提示符中运行以下命令: icacls c:\windows\任务/删除:g“认证用户” icacls c:\ windows \ /拒绝任务系统:(OI)(CI)(WD WDAC) 注意,当对这个漏洞提供了修复程序时,这些修改应该被撤销。