Windows 10 Task Scheduler服务DLL注入漏洞分析<\/h1>

0x00 漏洞概述<\/h2>
Windows 10 Task Scheduler（计划任务）服务存在DLL劫持\/注入漏洞，该服务会尝试加载一个不存在的DLL文件"WptsExtensions.dll"。由于加载时使用的是相对路径而非完整路径，攻击者可以通过在PATH环境变量指定的目录中放置恶意DLL文件，实现权限提升、持久化驻留或绕过UAC等攻击。<\/p>

0x01 技术原理<\/h2>

DLL加载机制<\/h3>

Windows系统在加载DLL时遵循以下搜索顺序：<\/p>

应用程序加载目录<\/li>
C:\Windows\System32<\/li>
C:\Windows\System<\/li>
C:\Windows<\/li>
当前工作目录<\/li>
系统PATH环境变量指定的目录<\/li>
用户PATH环境变量指定的目录<\/li> <\/ol>
漏洞成因<\/h3>
Task Scheduler服务（svchost.exe）中的WPTaskScheduler.dll会尝试导入WptsExtensions.dll，但该DLL并不存在。由于导入时使用的是相对名称而非完整路径，导致存在DLL劫持风险。<\/p>
0x02 漏洞利用<\/h2>
利用条件<\/h3>
1. 攻击者需要能够在PATH环境变量指定的某个目录中写入文件<\/li>
2. 需要服务重启或系统重启（取决于具体场景）<\/li> <\/ol>
  利用步骤<\/h3>
  1. 识别可写目录<\/strong>：<\/p>
    
    检查系统PATH环境变量<\/li>
    查找攻击者有写入权限的目录（如示例中的C:\python27-x64）<\/li> <\/ul> <\/li>
    
    构造恶意DLL<\/strong>：<\/p>
    
    创建一个名为WptsExtensions.dll的DLL文件<\/li>
    在DLL入口点（如DllMain）中添加恶意代码<\/li>
    示例恶意行为：以SYSTEM权限启动cmd.exe<\/li> <\/ul> <\/li>
    
    放置恶意DLL<\/strong>：<\/p>
    
    将构造的DLL复制到PATH中可写的目录<\/li>
    确保文件名完全匹配（WptsExtensions.dll）<\/li> <\/ul> <\/li>
    
    触发加载<\/strong>：<\/p>
    
    重启Task Scheduler服务或重启系统<\/li>
    服务重启后会加载恶意DLL，执行其中的代码<\/li> <\/ul> <\/li> <\/ol>
    攻击场景<\/h3>
    
    本地权限提升<\/strong>：<\/p>
    
    普通用户可利用此漏洞获取SYSTEM权限<\/li>
    可创建管理员账户等操作<\/li> <\/ul> <\/li>
    
    持久化驻留<\/strong>：<\/p>
    
    每次服务启动都会加载恶意DLL<\/li>
    实现长期驻留系统<\/li> <\/ul> <\/li>
    
    UAC绕过<\/strong>：<\/p>
    
    可结合其他技术绕过用户账户控制<\/li> <\/ul> <\/li> <\/ol>
    0x03 漏洞验证<\/h2>
    
    使用Process Monitor监控Task Scheduler服务<\/li>
    观察服务尝试加载WptsExtensions.dll的行为<\/li>
    确认加载失败（NAME NOT FOUND）<\/li> <\/ol>
    0x04 官方回应<\/h2>
    微软安全响应中心(MSRC)认为：<\/p>
    
    此漏洞需要攻击者事先将恶意文件写入特定目录<\/li>
    从程序目录加载库是正常的设计理念<\/li>
    不符合微软的安全服务标准<\/li>
    不视为安全漏洞<\/li> <\/ol>
    0x05 缓解措施<\/h2>
    
    系统管理员<\/strong>：<\/p>
    
    监控PATH环境变量中的目录权限<\/li>
    限制普通用户对系统目录的写入权限<\/li>
    创建名为WptsExtensions.dll的空文件或目录，防止被替换<\/li> <\/ul> <\/li>
    
    开发人员<\/strong>：<\/p>
    
    使用完整路径加载DLL<\/li>
    使用SetDefaultDllDirectories API限制DLL搜索路径<\/li>
    启用安全DLL搜索模式<\/li> <\/ul> <\/li>
    
    安全产品<\/strong>：<\/p>
    
    监控异常DLL加载行为<\/li>
    检测PATH环境变量中的可疑目录<\/li> <\/ul> <\/li> <\/ol>
    0x06 技术细节<\/h2>
    逆向分析显示，漏洞位于WPTaskScheduler.dll中，该模块会尝试导入WptsExtensions.dll，但没有使用完整路径：<\/p>
    ; WPTaskScheduler.dll中的导入表 Import Address Table: ... WptsExtensions.dll ... <\/code><\/pre> 0x07 总结<\/h2> 虽然微软不认为这是一个安全漏洞，但攻击者仍可利用此技术实现权限提升和持久化驻留。建议系统管理员采取适当的防护措施，特别是严格控制PATH环境变量中目录的写入权限。<\/p>

Windows 10 Task Scheduler服务DLL注入漏洞分析<\/h1>

0x01 技术原理<\/h2>

漏洞成因<\/h3> Task Scheduler服务（svchost.exe）中的WPTaskScheduler.dll会尝试导入WptsExtensions.dll，但该DLL并不存在。由于导入时使用的是相对名称而非完整路径，导致存在DLL劫持风险。<\/p>

0x02 漏洞利用<\/h2>

0x07 总结<\/h2> 虽然微软不认为这是一个安全漏洞，但攻击者仍可利用此技术实现权限提升和持久化驻留。建议系统管理员采取适当的防护措施，特别是严格控制PATH环境变量中目录的写入权限。<\/p>

漏洞成因<\/h3>
Task Scheduler服务（svchost.exe）中的WPTaskScheduler.dll会尝试导入WptsExtensions.dll，但该DLL并不存在。由于导入时使用的是相对名称而非完整路径，导致存在DLL劫持风险。<\/p>

0x07 总结<\/h2>
虽然微软不认为这是一个安全漏洞，但攻击者仍可利用此技术实现权限提升和持久化驻留。建议系统管理员采取适当的防护措施，特别是严格控制PATH环境变量中目录的写入权限。<\/p>