ClsHack Blog


[Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

November 21st, 2010 by clshack


Con questo exploit, testato da me su windows 7 potrete eseguire comandi con privilegi SYSTEM .

Come con KiTrap0D , oppure ad esempio tramite l’exploiting della MS-061 potremo eseguire comandi con privilegi elevati senza restrizioni e senza la necessità di conoscere la password.
Da metasploit si legge:

# This script exploits the Task Scheduler 2.0 XML 0day exploited by Stuxnet

…immaginate voi la potenza del worm Stuxnet…

L’exploit è disponibile su exploit-db e di default esegue questi comandi:

a.WriteLine ("net user /add test123 test123")
a.WriteLine ("net localgroup administrators /add test123")
a.WriteLine ("schtasks /delete /f /TN wDw00t")

Cioè aggiunge un nuovo utente: test123 e lo aggiungi agli amministratori locali e infine elimina la task eseguita.

Una volta creato il file infetto, alla fine dell’exploit, lancia la task creata, cioè si esegue:
objShell.Run "schtasks /change /TN wDw00t /disable",,True
objShell.Run "schtasks /change /TN wDw00t /enable",,True
objShell.Run "schtasks /run /I /TN wDw00t",,True

Ricordo che per questo exploit, è già disponibile il modulo per METASPLOIT

Infine ecco il download dell’exploit:
[DOWNLOAD] [Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

Aggiornamento:
Shadowy Viper

Windows soffre di un altro baco che permette l’elevazione di privilegi: discoure del 24-11-2010.

Questo nuovo exploit permette di bypassare il famoso servizio di sicurezza UAC, ovvero l’User Account Control, introdotto negli ultimi windows: Windows Vista e Windows 7, che all’esecuzione di programmi con privilegi elevati, blocca tutto e chiede all’utente una conferma per continuare a lanciare il programma.
L’exploit sfrutta un buffer overflow nel file win32k.sys .
In più, win32k.sys permette delle modifiche al registro windows senza restrizioni .

Il poc disponibile online viene creata una chiave di registro, e richiama un’altra libreria che cerca di leggere la chiave. Infine il processo termina chiamando il codice vulnerabile in win32k.sys
Il PoC funziona solo su alcuni kernel, su altri potrebbe portare solo ad una BSOD (Blue Screen Of Death).

Ovviamente questo exploit è solo locale, deve sfruttare qualche altro mezzo.

POC-DOWNLOAD

  • Pingback: news sul mondo della programmazione » [Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

  • Mattia

    Non so se ho fatto una cazzata io o boh,ma a me ha funzionato..
    Ho creato un account limitato,vi sono entrato,ho modificato lo script togliendo l’aggiunta dell’account 123,e modificato alla riga inferiore,di aggiunger l gruppo degli admin il mio account,dove ho sostituito il nome,e ha funzionato..eseguendo tale script,da un account standard senza privilegi d amministrazione,si ottengono tutti i permessi,senza creare un altro account..

  • clshack

    @mattia :D

    si è giusto :D

  • Mattia

    Ma ora così ottenere i privlegi nei pc dell’amministrazione di scuola è troppo facile =D
    Si illudevano che 7 fosse sicuro..
    Si illudevano che windows fosse sicuro =D

  • clshack

    @Mattia:

    se non aggiornano i pc si puoi sfruttare anche questa lacuna di windows per ottenere i privilegi massimi :D

  • Mattia

    Sta a vedere quando fixano il tutto..e devo vedere con quale aggiornamento,così lo escludo xD

  • Mattia

    Peccato che sull account guest non funonzi.

  • http://www.evilripper.net evilripper

    ah cavoli ci mancherebbe anche che vada con il guest! :-D
    ma funziona anche in desk remoto?

  • clshack

    @mattia funziona da guest …

    @evilripper:
    si perchè non dovrebbe funzionare ?

    P.S ne è uscito un altro o.o

    http://www.exploit-db.com/exploits/15609/

  • Mattia

    MMhm da Guest non mi funge,mi crasha a metà script..Proviamo st’altro PoC pure và!

  • Mattia

    per la precisione: ADODB.Stream : impossibile aprire il file specificato!

  • clshack

    @Mattia :

    da guest forse hai disattivato le opzioni per eseguire task ad un dato orario … perchè a me va o.o

    Mentre il secondo exploit…

    http://nakedsecurity.sophos.com/2010/11/25/new-windows-zero-day-flaw-bypasses-uac/

    o.O

  • Mattia

    Entrambi gli exploit comunque ora vengono riconosciuti come minacce da Windows stesso,almeno il primo,quando lo scarico da exploit-db.
    Comunque ho provato tutto in vm installata da zero,però diciamo che l’ho incasinata un pò =D perciò stasera riprovo..
    Per quanto riguarda il secondo exploit,ho provato ad esempio a cambiare la psw dell’amministratore,e dopo l’exploit,non ho i permessi per farlo da account utente,mentre col net user,tutto tranquillo..
    Bisogna vedere comunque che uso se ne vuol fare,il modo si trova poi!

  • Pingback: [Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

  • Luca

    Ciao.. ti seguo da molto tempo e devo dire che è sempre un piacere leggere tra le tue righe.. si scoprono sempre cose nuove.. volevo chiederti una cosa, che non c’entra al 100% con questo tuo topic.. ma sinceramente non saprei dove andarti a cercare per chiedertelo.. volevo sapere che ne pensi del fatto che ultimamente nonostante i vari encode, l’antivir segnali i virus!! esattamente un trojan.. è normale??? io gli faccio fare l’encode segnato come “BEST” nell’utility SET..
    grazie e ciao

  • clshack

    uso encode multipli ;) encodi e a sua volta encodi ;)