Les tâches planifiées à distance peuvent être exploitées pour exécuter du code arbitraire à distance. Elles offrent un moyen efficace de se déplacer latéralement au sein d'un système d'information Windows. Dans cet article, les concepts techniques associés aux tâches planifiées et artefacts forensics seront détaillés.
Ce second article [0] se concentre sur le déplacement latéral via la création de tâches planifiées.
1. Exécution de code à distance via la création de tâches planifiées
1.1 Schtasks
1.1.1 Fonctionnement et prérequis
schtasks.exe [1] est un utilitaire natif Windows permettant la configuration de tâches planifiées (il succède à at.exe). Des tâches planifiées peuvent être configurées à distance sur des machines Windows, et permettent ainsi de conduire des mouvements latéraux dans un SI.
Les prérequis suivants sont nécessaires afin de créer, exécuter puis supprimer une tâche planifiée sur une machine distante :
- disposer des droits de démarrage du service « Task Scheduler » ainsi que d’écriture sur le dossier C:\Windows\Tasks sur la machine ciblée, et donc typiquement être administrateur ;
- avoir un accès réseau au service « Remote Scheduled Tasks Management (RPC-EPMAP) » accessible au travers du réseau via le port 135 TCP,...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[0] https://connect.ed-diamond.com/MISC/MISCHS-023/Mouvements-lateraux-en-environnement-Windows-services
[1] schtasks.exe : https://docs.microsoft.com/en-us/windows/win32/taskschd/schtasks
[2] HowTo – Scheduled tasks credentials – Benjamin Delpy : https://github.com/gentilkiwi/mimikatz/wiki/howto-~-scheduled-tasks-credentials
[3] at.exe : https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/schtasks
[4] atexec.py : https://github.com/SecureAuthCorp/impacket/blob/f4558a10e24bf51fd6410d5c0f80fa087da2e8c4/examples/atexec.py
