Pesquisadores de cibersegurança descobriram quatro novas falhas de escalonamento de privilégios no Agendador de Tarefas do Windows, um dos componentes centrais do sistema operacional. As vulnerabilidades, presentes no binário “schtasks.exe”, podem permitir que atacantes locais elevem seus privilégios e até apaguem registros de eventos para ocultar atividades maliciosas.

Segundo os pesquisadores, uma dessas falhas permite que o atacante contorne o controle de conta de usuário (UAC), executando comandos com privilégios de administrador (SYSTEM) sem aprovação do usuário. A exploração desse tipo de falha pode levar ao roubo de dados, instalação de malwares e comprometimento total do sistema.

A vulnerabilidade ocorre quando o atacante cria uma tarefa agendada utilizando autenticação via Batch Logon (com senha), ao invés de um token interativo. Isso faz com que o serviço de agendamento conceda os direitos máximos ao processo. Contudo, para que o ataque funcione, é necessário que o invasor tenha acesso prévio à senha — o que pode ser obtido por métodos como quebra de hash NTLMv2 ou exploração de falhas conhecidas como a CVE-2023-21726. Além disso, os pesquisadores alertam para duas técnicas de evasão de defesa que utilizam o agendador para apagar rastros de atividade.