Windows 任务调度程序中的零日漏洞 CVE-2024-49039 的概念验证 (PoC) 漏洞利用代码已被公开发布,引发了对攻击增加的担忧。该漏洞的 CVSS 得分为 8.8,允许攻击者提升权限并在更高的完整性级别执行代码。
漏洞详情:
CVE-2024-49039 使攻击者能够绕过安全限制并以较高权限执行任意代码。此漏洞存在于 Windows 任务调度程序服务中,该服务是负责调度和自动执行任务的关键组件。利用该漏洞,攻击者可在系统中获得立足点,并有可能完全控制系统。
野外利用:
以复杂攻击著称的 RomCom 网络犯罪团伙在最近针对欧洲和北美火狐浏览器和 Tor 浏览器用户的攻击活动中积极利用了这一零日漏洞。这些攻击涉及将 CVE-2024-49039 与 Firefox 中的另一个零日漏洞(CVE-2024-9680)进行连锁,以实现在浏览器沙盒外执行代码。
技术分析:
该漏洞可能源于 WPTaskScheduler.dll 组件中的一个漏洞,自 Windows 10 1507 版起,该组件与任务计划程序密不可分。分析表明,该漏洞允许攻击者绕过 “受限令牌沙箱 ”和子进程限制等安全措施,从而有效地将其权限提升至 “中等完整性 ”级别。
PoC 可用性和影响:
在 Github 上发布 PoC 代码进一步扩大了风险,因为它为恶意行为者提供了利用 CVE-2024-49039 的现成工具。这种情况要求用户和组织立即采取行动,以减轻潜在威胁。
缓解措施
微软通过 11 月 12 日发布的安全更新解决了这一漏洞。强烈建议用户尽快应用此更新以保护其系统。此外,维护更新软件并在打开可疑电子邮件或点击未知链接时保持谨慎,也有助于防止成为此类攻击的受害者。
文章原文链接:https://www.anquanke.com/post/id/302394