ثغرات جديدة في “جدولة مهام Windows” تُمكّن المهاجمين من تجاوز UAC وحذف سجلات الأنشطة

ثغرات جديدة في "جدولة مهام Windows" تُمكّن المهاجمين من تجاوز UAC وحذف سجلات الأنشطة
ثغرات جديدة في "جدولة مهام Windows" تُمكّن المهاجمين من تجاوز UAC وحذف سجلات الأنشطة
شارك هذا الخبر

كشف باحثون في مجال الأمن السيبراني عن أربع ثغرات خطيرة في مكون أساسي بخدمة جدولة المهام في نظام Windows، يمكن استغلالها من قبل مهاجمين محليين لتنفيذ تصعيد للامتيازات (Privilege Escalation) وحذف سجلات الأنشطة لتغطية آثار الأنشطة الخبيثة.

تفاصيل الثغرات الأمنية:

تم اكتشاف هذه الثغرات في الملف التنفيذي ، وهو أداة مدمجة في Windows تتيح للمسؤولين إنشاء، حذف، تشغيل، واستعلام المهام المجدولة سواء على أجهزة محلية أو بعيدة.

تجاوز التحكم في حساب المستخدم (UAC)

قال الباحث الأمني روبن إنكاوا من شركة Cymulate في تقرير نُشر عبر The Hacker News:

“تم اكتشاف ثغرة تمكن المهاجمين من تجاوز نافذة التحكم في حساب المستخدم (UAC)، مما يسمح لهم بتنفيذ أوامر بامتيازات نظام (SYSTEM) دون الحاجة إلى موافقة المستخدم.”

تصعيد الامتيازات وتنفيذ شيفرات خبيثة

باستغلال هذه الثغرة، يمكن للمهاجمين:

  • تصعيد صلاحياتهم وتنفيذ شيفرات خبيثة بامتيازات المسؤول.

  • الوصول غير المصرّح به إلى النظام وسرقة البيانات أو السيطرة الكاملة على الجهاز.

الثغرة تنشأ عندما يقوم المهاجم بإنشاء مهمة مجدولة باستخدام خيار Batch Logon (بكلمة مرور) بدلاً من Interactive Token، مما يدفع خدمة جدولة المهام إلى منح الصلاحيات القصوى للعملية التي يتم تنفيذها.

لكن لتنفيذ هذا الهجوم، يجب على المهاجم الحصول مسبقًا على كلمة المرور بطريقة ما، مثل:

  • كسر تجزئة NTLMv2 بعد المصادقة ضد خادم SMB

  • أو استغلال ثغرات مثل CVE-2023-21726

تجاوز أذونات المستخدمين العاديين

نتيجة لهذه الثغرة، يمكن للمستخدمين محدودي الامتيازات استخدام أداة schtasks.exe مع كلمة مرور معروفة لانتحال عضوية مجموعات مثل:

  • Administrators

  • Backup Operators

  • Performance Log Users

وبالتالي، يحصل المهاجم على أقصى الصلاحيات المتاحة أثناء تنفيذ المهمة المجدولة.

حذف السجلات لتفادي الاكتشاف

يمكن أيضًا استغلال الثغرة لتطبيق تقنيات التهرب من الدفاعات (Defense Evasion) من خلال:

  • تسجيل مهمة باستخدام اسم مؤلف طويل جدًا (على سبيل المثال: حرف A مكرر 3500 مرة داخل ملف XML)، مما يؤدي إلى الكتابة فوق سجل أحداث المهمة (Task Event Log).

  • إغراق سجل الأمان (Security Logs) وحتى التلاعب بملف السجلات الكامل

تعليقات الباحثين الأمنيين

قال الباحث إنكاوا:

“خدمة جدولة المهام مكون مثير للاهتمام جدًا، حيث يمكن لأي شخص إنشاء مهمة، ويتم تنفيذها بواسطة خدمة تعمل بصلاحيات SYSTEM، مما يسمح بتداخل بين الامتيازات وتقمص هوية المستخدمين.”

وأضاف:

“الثغرة الأولى ليست مجرد تجاوز لـ UAC، بل تُمثل وسيلة لتقمص أي مستخدم يمتلك كلمة مروره، والحصول على أقصى امتيازات ممكنة في جلسة تنفيذ المهمة

وسوم
محمد طاهر
محمد طاهر
المقالات: 186

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة