Attenzione: le operazioni pianificate in Windows possono essere nascoste

Microsoft ha confermato l’esistenza di un bug in Windows precedentemente sconosciuto che permette di nascondere le attività pianificate.
Abbiamo già visto cos’è l’Utilità di pianificazione e come si usa spiegando anche il funzionamento del comando schtasks.

I team che in Microsoft si occupano di sicurezza hanno scoperto un nuovo malware (Tarrask) riconducibile al gruppo cinese Hafnium che usa proprio la tecnica in questione per nascondere le attività pianificate in Windows.

Gli autori del malware sono gli stessi che l’anno scorso hanno abbondantemente fatto uso delle vulnerabilità complessivamente battezzate ProxyLogon per aggredire i server Microsoft Exchange di molteplici imprese a livello mondiale.

Quando si crea un’attività pianificata con l’utilità di pianificazione in versione grafica oppure da riga di comando, il sistema operativo aggiunge nel registro il corrispondente valore SD (Security Descriptor). SD indica quali utenti sono autorizzati a eseguire un’attività pianificata.
Gli aggressori si sono accorti che semplicemente cancellando tale valore SD l’operazione pianificata continua a essere eseguita così come stabilito ma non viene presentata né nell’elenco che compare digitando Utilità di pianificazione nella casella di ricerca di Windows né usando il comando schtasks /query.

Sfruttando questa “pecca” di Windows gli autori del malware Tarrask hanno così potuto mantenere ben celate le loro attività sui sistemi aggrediti tra cui, spiega Microsoft, tante aziende di primo piano ed enti governativi.

Per identificare le operazioni pianificate nascoste si dovrebbe esaminare il contenuto della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree del registro di sistema individuando le eventuali attività sprovviste del valore SD.

L’aspetto cruciale è che le attività pianificate sono ormai diventate uno strumento efficace per i criminali informatici al fine di mantenere i loro componenti sui sistemi attaccati.
È Microsoft stessa a evidenziare che l’utilizzo delle operazioni pianificate sta diventando una delle tecniche di evasione (sottrazione al riconoscimento da parte delle soluzioni per la sicurezza informatica, come gli antimalware) più “gettonate”. Ed è anche una tecnica particolarmente problematica per tutti quei sistemi Windows che vengono riavviati di rado (controller di dominio, file server, database server, web server,…).