Este "zero day" foi agora descoberto no agendador de tarefas do Windows, uma semana após a Microsoft ter lançado as suas atualizações (Patch Tuesday).

Esta nova de forma de exploração envolve o uso de tarefas "descompostas" (em formato JOB) e importando-as na utilidade do agendador de tarefas.

Qualquer ficheiro desse formato (JOB) é importado pelo agendador com controlos de acesso arbitrários, sendo que na ausência dos mesmos o sistema conceder acesso total a qualquer utilizador.

De acordo com o investigador, de forma a conseguir explorar a falha é necessário importar ficheiros "legacy" do agendador para a utilidade do Windows 10; tal é possível copiando ficheiros velhos .job para o diretório c:\windows\tasks através dos executáveis ‘schtasks.exe’ e ‘schedsvc.dll’. Isto faz com que ocorra uma RPC (chamada de procedimento remota) à“_SchRpcRegisterTask.”, que é uma função que permite registar uma tarefa com o servidor exposto pelo serviço de agendamento de tarefas.

Mesmo começando com privilégios limitados, é possível obter privilégios de sistema invocando uma função específica.

Fonte: https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/