CVE-2019-1069

Microsoft Task Scheduler

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-15

Официальное описание

A privilege escalation vulnerability exists in the way the Task Scheduler Service validates certain file operations.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2019-1069) позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Это происходит из-за ошибки в проверке операций с файлами службой Планировщика заданий (Task Scheduler) при создании жестких ссылок (hard links). Атакующий может создать специальную задачу, которая при выполнении перезапишет критически важный системный файл, что приведет к выполнению произвольного кода с наивысшими правами.

Как исправить

Установите официальное обновление безопасности от Microsoft.

  • Для Windows 10 (все поддерживаемые версии): Установите накопительное обновление от июня 2019 года или новее. Конкретный номер обновления зависит от вашей версии ОС и разрядности. Например, для Windows 10 версии 1903 это обновление KB4503293.
  • Для Windows Server 2019: Установите накопительное обновление KB4503293 (июнь 2019) или новее.
  • Для более старых, но все еще поддерживаемых на тот момент версий (Windows 7, 8.1, Server 2008 R2, 2012, 2012 R2, 2016): Установите соответствующие накопительные обновления за июнь 2019 года.

Действия: 1. Откройте Параметры Windows -> Обновление и безопасность -> Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предложенные обновления, особенно помеченные как "качественные". 3. Для серверов или точного контроля используйте команду PowerShell для поиска и установки конкретного KB: powershell Get-HotFix -Id KB4503293 Если обновление не установлено, оно будет доступно через Центр обновления Windows или каталог обновлений Microsoft.

Временное решение

Если немедленная установка обновления невозможна, ограничьте права локальных пользователей.

  1. Ограничение создания жестких ссылок (наиболее эффективно):

    • Настройте политику ограниченного использования программ (AppLocker) или аналогичный механизм контроля приложений, чтобы запретить выполнение cmd.exe, powershell.exe и других инструментов для непривилегированных пользователей.
    • Внимание: Это может нарушить нормальную работу для пользователей, которым требуются эти инструменты.

  2. Минимизация привилегий:

    • Убедитесь, что рядовые пользователи работают под учетными записями с минимальными правами (без прав локального администратора). Это не предотвращает эксплуатацию, но значительно усложняет начальный этап атаки.

  3. Мониторинг (обнаружение):

    • Включите аудит создания и изменения заданий в Планировщике заданий.
    • Настройте SIEM или систему мониторинга на отслеживание подозрительных событий, связанных со службой Schedule (источник событий Microsoft-Windows-TaskScheduler), особенно создание задач от имени непривилегированных пользователей.
    • Мониторьте создание жестких ссылок (fsutil hardlink list) в системных каталогах, таких как C:\Windows\System32\.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей