Windows: dziurawy Harmonogram Zadań ułatwia pracę przestępcom
Zespół Microsoft DART poinformował o zidentyfikowaniu nowej metody ukrywania złośliwego oprogramowania, opartej o systemowy Harmonogram Zadań w Windows. Usunięcie jednej właściwości z zadania pozwala ukryć je na liście obiektów Harmonogramu.
Menedżer zaplanowanych zadań, debiutujący w Windows 95 Plus!, uległ znacznej rozbudowie w systemie Windows Vista. Zadania dodawane do niego nie są niczym w stylu prostego polecenia dopisywanego do listy wraz z kalendarzem uruchomień (jak w przypadku linuksowego crona). Zamiast tego są skomplikowanym obiektem, pełnym wielu pól.
Obiekt Harmonogramu
Poza poleceniem do wykonania, zaplanowane zadanie może zawierać listę wyzwalaczy uruchamiających je. Mogą być nim harmonogramy (regularne lub nie) oraz, między innymi, zdarzenia systemowe o konkretnym identyfikatorze, rejestrowane do Dziennika Zdarzeń.
Można także ustawić użytkownika, pod kontrolą którego zadanie ma pracować oraz czy... ma być ukryte. Z tym, że to "ukrycie" można wyłączyć w widoku harmonogramu lub wydać polecenie listujące zadania z uwzględnieniem ukrytych. Jest to zatem głównie zabieg estetyczny, a nie złowrogi.
Rzeczą, której nie da się łatwo ustawić przez interfejs harmonogramu, jest wybranie użytkowników uprawnionych do uruchamiania zadania. Do tego, według DART, służy Security Descriptor w zadaniu. Co to takiego?
W systemie Windows NT niemal każdy obiekt może zostać opatrzony listą kontrolną bezpieczeństwa. Windows jest zaprojekowany jako bardzo bezpieczny, biznes jednak wymusił bardzo dużo wyjątków w stosowaniu się do owych decyzji projektowych. Dlatego choć każdy obiekt da się zabezpieczyć, często funkcje systemowe nie robią z tego użytku.
Tak jest właśnie w przypadku zadań Harmonogramu. Security Descriptor zadania można usunąć. W rezultacie zadanie znika z listy... ale dalej działa. Taką właśnie sztuczkę stosuje grupa przestępcza Hafnium.
Choć lukę opisał "Microsoft", nie oznacza to, że przyjęto ją do naprawy. Microsoft jest duży, więc dziurę na pewno będzie naprawiać zespół inny niż DART. O tym jest na razie cicho.
Usunięcie elementu Security Descriptor jest możliwe tylko przez użytkownika SYSTEM, ale istnieje kilka sposobów na awansowanie z administratora na system. Dlatego suwak UAC przesuwamy zawsze na samą górę.