Ces 4 vulnérabilités dans le Planificateur de tâches menacent la sécurité de Windows : voici pourquoi !
Des chercheurs en sécurité sont parvenus à identifier 4 nouvelles failles de sécurité dans le Planificateur de tâches de Windows. Quels sont les risques ? Voici ce que l'on sait.
L'élévation de privilèges avec le Planificateur de tâches
Quatre failles de sécurité ont été découvertes dans un composant important de Windows : le Planificateur de tâche, associé à l'exécutable schtasks.exe. Il sert à créer et gérer les tâches planifiées sur un poste de travail Windows ou un serveur Windows Server.
Les nouvelles vulnérabilités mises en lumière par les chercheurs de chez Cymulate constituent une menace pour l'intégrité des systèmes Windows. La première vulnérabilité permettrait de contourner le mécanisme UAC de Windows : "Une vulnérabilité de contournement de l'UAC a été découverte dans Microsoft Windows, permettant à des attaquants de contourner l'invite de contrôle des comptes utilisateurs, ce qui leur permet d'exécuter des commandes à haut privilège (SYSTEM) sans l'approbation de l'utilisateur."
Ce type d’exploitation repose sur la création d’une tâche planifiée en utilisant une méthode d’authentification Batch Logon (avec mot de passe) plutôt qu’un jeton interactif. En tirant parti de cette faille, les attaquants peuvent élever leurs privilèges et exécuter des charges malveillantes avec les droits SYSTEM (au-dessus du niveau administrateur). En connaissant simplement un mot de passe valide (prérequis à l'exploitation de la vulnérabilité), un utilisateur peu privilégié pourrait ainsi usurper l'identité d’un administrateur ou d’un opérateur de sauvegarde.
Éliminer ses traces dans le Planificateur de tâches de Windows
Au-delà de l’élévation de privilèges pouvant mener à la compromission du système, ces vulnérabilités permettent également d’effacer les preuves d'une intrusion. En effet, en venant modifier les fichiers XML utilisés pour définir les tâches planifiées, un attaquant peut provoquer une surcharge des journaux d’événements, notamment celui de sécurité, afin d'effectuer un écrasement des événements.
"En itérant une boucle créant une tâche 2280 fois, la taille par défaut du fichier de sécurité du journal des événements (Security.evtx) est dépassée, ce qui permet à un acteur de la menace d'effacer les journaux.", peut-on lire.
Une autre méthode dévoilée par les chercheurs consiste à utiliser un simple nom d’auteur de tâches démesurément long. Par exemple, 3 500 fois la lettre A, ce qui aura pour effet de corrompre la description du journal de tâches, empêchant ainsi toute reconstitution précise de l’activité malveillante. Autrement dit, l'attaquant peut falsifier les journaux et les rendre inexploitables.
Alors que ces vulnérabilités semblent mettre en lumière certaines lacunes du Planificateur de tâches de Windows, l'équipe MSRC de Microsoft n'a pas pris en considération ces signalements. "Le MSRC n'a pas considéré un seul rapport comme une vulnérabilité.", peut-on lire à la fin du rapport. À ce titre, ces vulnérabilités n'ont pas de référence CVE.
« Specifications:
Local administrator credentials required »
Désolé mais je dois être un peu con, en gros ce qu’ils disent c’est que…avec un accès admin, on peut faire des trucs admin ?
C’est nouveau ?
Dans la mesure où ils faut être local admin, je ne vois effectivement pas en quoi il s’agit ici d’une vulnérabilité
Bonjour. Pour informer jusqu’au bout, pouvez vous dire pourquoi Microsoft a choisi de ne rien faire, et que comptez vous faire, vous ?
Sinon c’est un coup d’épée dans l’eau. re