TR-18-113 (Microsoft Windows Task Scheduler Yerel Yetki Yükseltme Zafiyeti)

Genel Bilgi

Microsoft Windows 64bit işletim sistelerinde bulunan Task Scheduler (Görev Zamanlayıcısı) servisinde yeni bir yetki yükseltme zafiyeti tespit edilmiştir.

Etki

Bu zafiyeti kullanan bir saldırgan Microsoft Windows 64bit işletim sistemli bilgisayar üzerinde normal bir kullanıcının yetkilerini "Sistem yöneticisi" seviyesine yükseltebilmektedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), sistem kullanıcıları ve yöneticilerine Microsoft Windows 64bit işletim sistemlerinde c:\windows\tasks dizinine dosya yazma yetkilerinin kısıtlanmasını önermektedir. Kısa vadede çözüm önerisi olarak aşağıdaki komutlar ile bu işlem yapılabilir:

icacls c:\windows\tasks /remove:g "Authenticated Users"

icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

NOT: Bu komutlar görev zamanlayıcısının işlevlerini etkileyebilir. Kontrollü bir şekilde uygulanmalıdır.

Kaynaklar

https://www.kb.cert.org/vuls/id/906424

https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar

https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f

2018-08-29