Door Anoniem: Mijn PC wordt door niemand anders gebruikt dus voor mij geen probleem.
Sarcasme of naïviteit?
Door Anoniem: Dit is een exploit om UAC te omzeilen en hogere rechten te krijgen.
Nope, deze exploit werkt naar verluidt (
https://github.com/GossiTheDog/zeroday/blob/master/ALPC-TaskSched-LPE/ALPC-TaskSched-LPE.cpp) zelfs voor Guest.
Door karma4: De windows taakplanner is zoiets als cron/crontab. Het cron proces draait onder root.... Bedoeld voor systeembeheerstaken.
Hou nou eens je kop over zaken waar je geen verstand van hebt en ook nog eens jezelf in de voet schiet. Ja, zowel taakplanner als cron draaien met de hoogste privileges. Maar terwijl alleen root de file /etc/crontab kan wijzigen, heeft elke gebruiker (ook Guest) schrijfrechten in C:\Windows\Tasks\ (en/of C:\Windows\System32\Tasks\) en dat is exact waar deze exploit gebruik van maakt.
Door karma4: Hoe wil je een volledige backup in je taakplanner/scheduler hebben zonder hoogste privileges.
Voor een gebruiker bestaat een volledige backup uit al haar bestanden. Iets met functiescheiding uit ISO27002, BIR-TNK etc. (jouw typische riedeltje). Maar ook deze opmerkingen van mij zul je wel weer "pareren" met niet ter zake doende flapdrollerij.
Dat heeft hier niets mee te maken (behalve dat ook ALPC genoemd wordt).
Door Anoniem: Gelukkig is de implementatie open source, zo kan je voor nu ieder geval het lek tegenhouden:
icacls c:\windows\tasks /remove:g "Authenticated Users"
icacls c:\windows\tasks deny system:(OI)(CI)(WD,WDAC)
Waarschuwing: dit blokkeert schrijfrechten van System op je taken en haalt authenticated users rechten weg op de tasks map. Mogelijk beinvloed dit de werking van geplande taken. (Bij een korte test bleek hier alles nog te werken)
Info credits gaan naar Karsten88 (dank, dank voor de temp. fix ;))
Om te beginnen snap ik niet waarom o.a. filesystems en het register ACE's (voor uitleg van afko's zie
https://docs.microsoft.com/en-us/windows/desktop/secauthz/access-control-lists) bevatten voor SYSTEM, want in mijn ervaring trekt SYSTEM zich daar niets van aan. Het toevoegen van een deny-ACE voor SYSTEM is dus, vermoed ik, zinloos.
Alle overige gebruikers hebben natuurlijk wel met toegangsrechten -vastgelegd in DACL's- te maken. Wat die eerste regel precies voor effect heeft, hangt af van of bestaande entries in c:\windows\tasks\ een
protected DACL krijgen: in dat geval worden geen permissies van het parent object overgenomen, en in dat geval zou de truc van Karsten88 geen effect hebben
op reeds bestaande entries - en zou je hooguit geen entries meer toe kunnen voegen. Maar ik weet niet zeker of iets die DACL's protected maakt.
Maar zelfs dan zou ik heel voorzichtig zijn met dit soort wijzigingen, want zoals ik in mijn vorige bijdrage schreef, is er in de laatste Windows versies steeds meer functionaliteit onder task manager geschoven (wellicht om gebruikers het gevoel te geven dat Windows sneller opstart in de hoop dat ze niet merken dat ze nog een halfbakken systeem hebben, vermoedelijk vooral op het punt van beveiliging, als ze er meteen mee aan de gang gaan).