漏洞描述
Microsoft Windows任務調度器SchRpcSetSecurity API在處理ALPC時存在一個漏洞,該漏洞允許經(jīng)過(guò)身份驗證的用戶覆蓋應該由文件系統acl保護的文件的内容,可以用來獲得系統特權。CERT已經(jīng)确認,公開(kāi)POC代碼可以在64位的Windows 10和Windows Server 2016系統上實現攻擊,還(hái)确認了與32位Windows 10的兼容性,并對(duì)公開(kāi)POC代碼進(jìn)行了少量修改。通過(guò)進(jìn)一步的修改,可以與其他Windows版本兼容。
漏洞評級
高危
影響範圍
Windows 7,8,10(x86 and x64),Windows Server 2008/R2,2012,2016 經(jīng)過(guò)身份驗證的本地用戶可以獲得更高的(系統)權限。
修複建議
CERT/CC目前不知道(dào)這(zhè)個問題的實際解決方案。請考慮以下解決辦法: 1、部署Microsoft Sysmon檢測規則 Kevin Beaumont提供了創建規則的指導,以檢測利用這(zhè)個漏洞。設置C:\Windows\Tasks目錄的acl 策略。 警告:這(zhè)種(zhǒng)緩解措施還(hái)沒(méi)有得到微軟的批準。然而,在測試中,它确實阻止了這(zhè)個漏洞的利用。它似乎還(hái)允許調度任務繼續運行,用戶可以根據需要繼續創建新的調度任務。然而,據報道(dào),這(zhè)個更改會(huì)破壞遺留任務調度程序接口創建的東西。這(zhè)包括SCCM和相關的SCEP更新。請确保您已經(jīng)測試了這(zhè)種(zhǒng)緩解措施,以确保它不會(huì)在您的環境中造成(chéng)不可接受的後(hòu)果。 要應用這(zhè)個緩解,在一個提升特權提示符中運行以下命令: icacls c:\windows\任務/删除:g“認證用戶” icacls c:\ windows \ /拒絕任務系統:(OI)(CI)(WD WDAC) 注意,當對(duì)這(zhè)個漏洞提供了修複程序時,這(zhè)些修改應該被(bèi)撤銷。