ClsHack Blog


[Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

November 21st, 2010 by clshack


Con questo exploit, testato da me su windows 7 potrete eseguire comandi con privilegi SYSTEM .

Come con KiTrap0D , oppure ad esempio tramite l’exploiting della MS-061 potremo eseguire comandi con privilegi elevati senza restrizioni e senza la necessità di conoscere la password.
Da metasploit si legge:

# This script exploits the Task Scheduler 2.0 XML 0day exploited by Stuxnet

…immaginate voi la potenza del worm Stuxnet…

L’exploit è disponibile su exploit-db e di default esegue questi comandi:

a.WriteLine ("net user /add test123 test123")
a.WriteLine ("net localgroup administrators /add test123")
a.WriteLine ("schtasks /delete /f /TN wDw00t")

Cioè aggiunge un nuovo utente: test123 e lo aggiungi agli amministratori locali e infine elimina la task eseguita.

Una volta creato il file infetto, alla fine dell’exploit, lancia la task creata, cioè si esegue:
objShell.Run "schtasks /change /TN wDw00t /disable",,True
objShell.Run "schtasks /change /TN wDw00t /enable",,True
objShell.Run "schtasks /run /I /TN wDw00t",,True

Ricordo che per questo exploit, è già disponibile il modulo per METASPLOIT

Infine ecco il download dell’exploit:
[DOWNLOAD] [Windows 7/2008 x86/x64 ] Windows Task Scheduler Privilege Escalation

Aggiornamento:
Shadowy Viper

Windows soffre di un altro baco che permette l’elevazione di privilegi: discoure del 24-11-2010.

Questo nuovo exploit permette di bypassare il famoso servizio di sicurezza UAC, ovvero l’User Account Control, introdotto negli ultimi windows: Windows Vista e Windows 7, che all’esecuzione di programmi con privilegi elevati, blocca tutto e chiede all’utente una conferma per continuare a lanciare il programma.
L’exploit sfrutta un buffer overflow nel file win32k.sys .
In più, win32k.sys permette delle modifiche al registro windows senza restrizioni .

Il poc disponibile online viene creata una chiave di registro, e richiama un’altra libreria che cerca di leggere la chiave. Infine il processo termina chiamando il codice vulnerabile in win32k.sys
Il PoC funziona solo su alcuni kernel, su altri potrebbe portare solo ad una BSOD (Blue Screen Of Death).

Ovviamente questo exploit è solo locale, deve sfruttare qualche altro mezzo.

POC-DOWNLOAD