資安公司Cymulate研究人員揭露Windows作業系統中的工作排程工具schtasks.exe,存在多項可被濫用的安全弱點,攻擊者可透過合法命令列參數及任務排程XML檔案,在特定條件下繞過使用者帳戶控制(UAC)提示,並以SYSTEM權限執行任意程式。研究人員指出,這些行為雖未被微軟視為漏洞,但其設計邏輯仍可能被惡意人士作為提升權限、橫向移動或隱匿行蹤的工具。
schtasks.exe為Windows任務排程元件的一部分,允許使用者以排程方式執行程式。研究人員發現,當攻擊者已知系統中具有Batch Logon權限帳號的密碼,便可透過/ru與/rp參數註冊任務,並在任務設定XML中指定以該帳號執行,即可觸發系統層級的執行環境,進而執行高權限指令,達到UAC繞過與提升權限效果。
除了提升權限機制外,該研究也揭露兩項與規避防護有關的技術。一是可利用XML檔案中的Author欄位輸入超長字串,造成事件記錄中4698號任務建立事件的TaskContent欄位被覆寫,而隱藏任務內容與惡意指令。另一則是透過建立大量含有龐大後設資料的排程任務,在短時間內填滿預設上限為20 MB的Security.evtx安全事件記錄檔,導致事件記錄失效,阻礙後續數位取證與追蹤。
值得關注的是,研究證實這些後設資料與記錄覆寫行為,可透過RPC(Remote Procedure Call)方式遠端觸發。研究人員進一步指出,任務排程服務於註冊任務時,並未對後設資料欄位長度加以限制,導致以信任使用者輸入為基礎的事件記錄內容成為攻擊介面。此外,這些後設資料內容也會寫入登錄機碼HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache,當有安全產品以此作為判斷任務可信度依據,也可能受到誤導。
針對Cymulate研究人員提出的安全質疑,微軟安全回應中心(MSRC)回覆表示,Author欄位與RegistrationInfo區塊僅為儲存一般任務資訊而設計,並非安全用途,因此不構成漏洞。不過,研究人員認為,使用者與資安人員仍應注意被惡意濫用的系統設計,特別是在系統管理工具與事件記錄這些高度仰賴預設行為可信度的情境。
此研究顯示即便未涉及程式錯誤或明確漏洞,攻擊者仍可結合系統設計邏輯與已知帳密,進行權限提升與事件隱匿。研究人員建議企業優先檢視工作排程相關活動與記錄異常,並強化敏感帳號密碼控管、調整事件記錄容量上限設定與UAC政策強化,以降低遭濫用風險。