Se encontraron cuatro vulnerabilidades de día cero en el Programador de tareas de Windows

Se han descubierto cuatro nuevas vulnerabilidades en uno de los componentes clave de Windows: el programador de tareas, lo que abre la posibilidad a ataques locales con elevación de privilegios. La investigación muestra que los atacantes no solo pueden obtener acceso con derechos de administrador, sino también ocultar rastros de su actividad limpiando los registros de eventos.

Se trata del archivo binario «schtasks.exe», que se utiliza para gestionar tareas tanto en ordenadores locales como remotos. Precisamente en su funcionamiento, los expertos identificaron deficiencias críticas que podrían permitir eludir los mecanismos de protección estándar, incluido el Control de Cuentas de Usuario (UAC).

Según datos de la empresa Cymulate, una de las vulnerabilidades permite ejecutar procesos con el nombre de SYSTEM sin solicitar confirmación del usuario. Esto se logra mediante la creación de una tarea utilizando el método Batch Logon, cuando se utiliza una contraseña para iniciar sesión en lugar de un token interactivo. Dicha tarea se ejecuta con los privilegios máximos disponibles, lo que la convierte en una herramienta conveniente para lanzar scripts maliciosos.

Sin embargo, una condición clave para la explotación sigue siendo la necesidad de obtener una contraseña válida de la cuenta de destino. Esto puede lograrse, por ejemplo, interceptando y descifrando los hashes NTLMv2 durante la autenticación en un servidor SMB o mediante vulnerabilidades como CVE-2023-21726.

Si se conoce la contraseña, incluso una cuenta de bajo nivel puede “hacerse pasar” por un administrador, operador de copias de seguridad o usuario de registros de rendimiento. Todo esto se realiza mediante la herramienta estándar de Windows y los flags «/ru» y «/rp», que indican el nombre de usuario y la contraseña.

Se ha prestado especial atención a los métodos para ocultar rastros. Los investigadores demostraron cómo, mediante un archivo XML de tarea, se puede crear un nombre de autor de más de 3500 caracteres. Esto provoca un desbordamiento en la descripción de la tarea en los registros y la eliminación de información sobre acciones anteriores. Otro truco permite dañar la base del registro de seguridad ubicada en «C:\Windows\System32\winevt\logs\Security.evtx», eliminando de hecho registros críticos de auditoría.

De este modo, el programador de tareas no solo se convierte en un medio para ejecutar procesos, sino también en una herramienta potencial para ataques con el nivel de acceso más alto posible. Está disponible para todos los usuarios y es gestionado por un servicio que se ejecuta en nombre de SYSTEM, lo que proporciona amplias oportunidades para manipular derechos, integridad de procesos y mecanismos de suplantación.

La investigación subraya cuán subestimado puede ser el papel de las utilidades del sistema integradas en el contexto de la seguridad. Una simple herramienta de línea de comandos se transforma en una puerta trasera con la que se puede eludir el control de acceso, obtener privilegios y borrar huellas digitales.

A pesar de las descripciones técnicas detalladas y los riesgos potenciales, Microsoft no ha reconocido ninguno de los informes presentados ante el MSRC como una vulnerabilidad. Por lo tanto, por ahora no se planean oficialmente cambios en el funcionamiento de «schtasks.exe» ni medidas para abordar los problemas identificados, lo que deja disponibles las posibilidades descritas en la investigación para la explotación local.