CVE-2024-49039 — 神龙十问 AI 深度分析摘要
CVSS 8.8 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Windows 任务计划程序存在**授权问题**。 💥 **后果**:攻击者可利用此漏洞实现**权限提升**,从低权限用户跃升至高权限(如 SYSTEM)。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:**CWE-287** (身份验证/授权不当)。 📍 **缺陷点**:任务计划程序在验证执行权限时存在逻辑缺陷,未能正确限制非特权用户的操作。
Q3影响谁?(版本/组件)
🖥️ **受影响组件**:**Windows Task Scheduler**。 📦 **具体版本**: - **Windows Server 2025** (含 Server Core) - **Windows 10 Version 1809** (32-bit 系统) *(注:描述中提及 Windows 10 1809,通常此类漏洞也影响其他受支持版本,请以微软官方列表为准)*
Q4黑客能干啥?(权限/数据)
👑 **黑客能力**: - **权限提升**:从普通用户提升至**管理员/SYSTEM**权限。 - **完全控制**:获得高权限后,可读取敏感数据、安装恶意软件或持久化控制主机。 - **CVSS 评分**:**H** (高) 影响机密性、完整性和可用性。
Q5利用门槛高吗?(认证/配置)
🚧 **利用门槛**:**中等**。 - **本地访问**:**AV:L** (攻击向量:本地)。 - **低复杂度**:**AC:L** (攻击复杂度:低)。 - **需认证**:**PR:L** (所需权限:低)。 - **无需交互**:**UI:N** (用户交互:无)。 👉 **前提**:攻击者需已拥有**低权限账户**并登录到目标系统。
Q6有现成Exp吗?(PoC/在野利用)
💻 **现成 Exp**:**有**。 🔗 **PoC 链接**: 1. [WPTaskScheduler_CVE-2024-49039](https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039) (基于 RPC 持久化) 2.…
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. **版本检查**:确认是否运行 **Windows Server 2025** 或 **Win10 1809 (32-bit)**。 2. **补丁状态**:检查是否安装 **2024年11月** 之后的安全更新。 3. **日志监控**:监控任务计划程序相关的异常 RPC 调用或权限变更事件。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已发布**。 📅 **发布日期**:**2024-11-12**。 🔗 **官方指引**:[Microsoft Update Guide](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49039)。 ✅ **建议**:立即通过 Windows Update 或手动下载补丁修复。
Q9没补丁咋办?(临时规避)
🚑 **临时规避**: 1. **最小权限原则**:严格限制本地低权限账户的权限,避免赋予不必要的任务创建权。 2. **网络隔离**:由于利用需**本地访问**,加强物理和网络边界防护,防止未授权用户登录。 3. **禁用不必要服务**:若非必要,可考虑禁用任务计划程序服务(⚠️ 谨慎操作,影响系统功能)。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📊 **理由**: - **CVSS 3.1** 评分高(权限提升类漏洞通常危害大)。 - **PoC 已公开**,降低攻击门槛。 - **影响关键系统**(Server 2025 等)。 👉 **行动**:优先修补受影响的 Windows 10 1809 和 Server 2025 系统。