CVE-2024-26238 Windows PLUGScheduler 提权漏洞分析

文章预览

描述 RUXIM（可重用UX集成管理器）是Windows 10上Windows Update使用的组件。PLUGScheduler是RUXIM的一部分，是一个计划任务，位于 \Microsoft\Windows\WindowsUpdate\RUXIM 目录中，并且以SYSTEM权限运行。 问题 PLUGScheduler.exe二进制文件执行文件操作，如删除和重命名，以SYSTEM权限，在标准用户具有部分控制权的目录中。这导致以SYSTEM权限进行任意文件写入。 时间线 2024.01.22 发送咨询至MSRC 2024.02.01 MSRC确认漏洞 2024.05.14 分配CVE-2024-26238并在KB5037768中修复漏洞 2024.05.24 公开发布 技术细节 触发时，PLUGScheduler计划任务以SYSTEM权限运行 C:\Program Files\RUXIM\PLUGScheduler.exe 可执行文件。后者如果不存在则创建 C:\ProgramData\PLUG\Logs 文件夹。之后，它删除 RUXIMLog.050.etl 文件，然后继续重命名所有 RUXIMLog.XXX.etl 格式的文件。更具体地说， RUXIMLog.049.etl 文件首先被重命名为 RUXIMLog.050.etl ………………………………