18
اكتشف باحثو الأمن السيبراني أربع ثغرات حرجة في مكون أساسي من نظام مُخطِّط المهام في ويندوز (Task Scheduler)، يمكن استغلالها من قبل مهاجمين محليين للحصول على امتيازات أعلى وتدمير سجلات الأحداث لمسح أي أدلة على الأنشطة الضارة.
تفاصيل الثغرات
CVE غير مُعلن بعد
- الوصف: تجاوز User Account Control (UAC) عبر استخدام schtasks.exe
- النتيجة: تنفيذ أوامر بصلاحيات SYSTEM بدون موافقة المستخدم
- المكون المتأثر: مُخطِّط المهام في ويندوز
- التأثير: تصعيد الامتيازات، تنفيذ تعليمات خبيثة بصلاحيات إدارية
CVE غير مُعلن بعد
- الوصف: تعديل سجلات النظام لتدمير الأدلة الرقمية
- الآلية: تسجيل مهمة باستخدام XML تحتوي على بيانات طويلة بشكل مفرط
- النتيجة: إتلاف ملفات السجل مثل Security.evtx
- الهدف: إخفاء الأدلة عن فرق الاستجابة الأمنية
كيف يتم الاستغلال؟
| المرحلة | التفاصيل |
| 1. الحصول على كلمة المرور | يحتاج المهاجم إلى معرفة كلمة مرور مستخدم لديه صلاحيات عالية (مثل Administrator) |
| 2. إنشاء مهمة مجدولة | استخدام الأمر schtasks.exe مع خيار Batch Logon لإنشاء مهمة مخصصة |
| 3. تجاوز UAC | تشغيل المهمة يؤدي إلى تنفيذ الأوامر بصلاحيات SYSTEM دون عرض تحذير UAC |
| 4. إخفاء الأدلة | تعديل ملف XML للمهمة لإحداث overflow في سجلات النظام وتدمير الأدلة الأمنية |
الآثار المحتملة
- يمكن لأي مستخدم ذي صلاحية منخفضة تنفيذ أوامر بصلاحيات إدارية كاملة
- يمكن للمهاجم أن ينتحل صفة مستخدمين في مجموعات حساسة مثل Administrators وBackup Operators
- إمكانية حذف أو تعديل سجلات النظام الأمنية (Security Logs)
- قد يؤدي ذلك إلى تمكن المهاجم من التواجد داخل الشبكة لفترة طويلة دون اكتشافه
رأي الباحثين
“مُخطِّط المهام في ويندوز مكوّن مثير للاهتمام للغاية. يمكن الوصول إليه من قِبل أي مستخدم، ويُنفذ بواسطة خدمة SYSTEM، ويتعامل بين الصلاحيات والمستخدمين بطريقة قد تُستغل.”– روبين إنكاوا، باحث أمني في Cymulate
كيف يمكن الحماية؟
- التحديث الفوري لنظام التشغيل عند توفر تصحيحات الأمان
- عدم منح المستخدمين العاديين صلاحيات تنفيذ أو تعديل المهام المجدولة
- مراقبة استخدام أمر
schtasks.exeخاصة مع وجود الوسوم/ruو/rp - تفعيل أدوات EDR لمراقبة التعديلات على ملفات السجل الأمني
- مراجعة سجلات النظام دوريًا لاكتشاف أي تعديلات مشبوهة
الخلاصة
تشير هذه الاكتشافات إلى ضرورة مراجعة كيفية إدارة المهام المجدولة في بيئات المؤسسات، خاصة عندما تكون متاحة لمستخدمين غير إداريين. كما أنها تسلط الضوء على أهمية مراقبة التعديلات على سجلات النظام ومراجعة سياسات التنفيذ المحلية.
