Sources

• https://www.darkreading.com/application-security/powerpool-malware-uses-windows-zero-day-posted-on-twitter/d/d-id/1332743
• https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/

Risques

CERT.be recommande aux administrateurs système d'installer les dernières mises à jour lorsqu'elles seront disponibles. Microsoft n'a pas encore corrigé la vulnérabilité de l’interface ALPC mais on s'attend à ce qu'un correctif soit publié dans la prochaine mise à jour de sécurité mensuelle le 11 septembre. La vulnérabilité présente les risques suivants : Elévation locale des privilèges.

Actions recommandées

Microsoft devrait publier une mise à jour pour cette vulnérabilité dans leurs mises à jour mensuelles de sécurité le 11 septembre. En attendant, il existe une solution alternative (non approuvée par Microsoft, procédez avec prudence !).

Définir les ACLs sur le répertoire C:\Windows\Tasks

Karsten Nilsen a trouvé une solution alternative pour résoudre temporairement le problème posé par cette vulnérabilité. Cette modification pourrait compromettre le bon fonctionnement de certaines fonctionnalités héritées des précédentes versions du planificateur de tâches (SSCM et les mises à jours SCEP par exemple).

Assurez-vous de tester ces modifications pour vous assurer qu'elles n'entraînent pas de conséquences inacceptables dans votre environnement.

Pour appliquer ces modifications, exécutez les commandes suivantes dans un invite de commande à privilège administrateur :

icacls c:\windows\tasks /remove:g "Authenticated Users"

icacls c:\windows\tasks /deny system:(OI)(CI)(WD,WDAC)

Une fois le correctif official disponible pour cette vulnérabilité, ces modifications doivent être annulées. Ceci peut être fait en exécutant les commandes suivantes :

icacls c:\windows\tasks /remove:d system

icacls c:\windows\tasks /grant:r "Authenticated Users":(RX,WD)

Source : https://twitter.com/karsten_nilsen/status/1034406706879578112