JVNVU#93881163
Microsoft Windows タスクスケジューラにおける権限昇格の脆弱性

Microsoft Windows には、タスクスケジューラの SetJobFileSecurityByName() 関数に起因する権限昇格の脆弱性が存在します。

• Windows 10 32ビット版 および 64ビット版
• Windows Server 2019
• Windows Server 2016
• Windows 8

タスクスケジューラは、決められた時間にタスクを実行するための、Microsoft Windows が持つコンポーネントです。schtasks.exe がタスクスケジューラのフロントエンドを担い、SYSTEM 権限で動作する Windows サービスがバックエンドとして機能します。タスクスケジューラが用いる schedsvc.dll というライブラリの中に tsched::SetJobFileSecurityByName() と呼ばれる関数がありますが、この関数により各 .job ファイルのアクセス権限が設定されます。

タスクスケジューラは SetSecurityInfo() 関数が呼ばれた時点で NT Authority\SYSTEM トークンを持ちます。そのため、タスクスケジューラは本来であれば SYSTEM あるいは他の高い権限を持つアカウントでなければコントロールできないはずのファイルに、フルアクセス権限を付与することができます。

Windows Vista より古い Windows では、%Windir%\tasks ディレクトリの .job ファイルが使用されます。このような古いバージョンの Windows に由来する schtasks.exe を新しいバージョンの Windows で動作させた場合、これらの .job ファイルは %Windir%\system32\tasks ディレクトリに移動されますが、その際に NT Authority\SYSTEM トークンを持つタスクスケジューラにより、すべてのアカウントに対するフルアクセス権限を持つハードリンクが作成されることになります。本脆弱性の発見者により公開された実証コードはこのようなタスクスケジューラの挙動を利用したものです。

本脆弱性について CERT/CC では公開された実証コードが、32 ビットおよび 64 ビットの Windows 10、Windows 2016 および Windows 2019 で動作することを確認しています。Windows 8 では、本実証コードは一般ユーザが書き込み権限をもつファイルに対してのみ有効であり、攻撃の有効性はごくわずかであると考えられます。Windows 7 においては本実証コードは有効ではありません。

一般ユーザ権限を持つ攻撃者により、保護されたファイルに対するフルアクセス権限を取得され、結果としてシステムを改ざんされる可能性があります。

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。