Windows 任务调度程序中的零日漏洞 CVE-2024-49039 的概念验证 (PoC) 漏洞利用代码已被公开发布，引发了对攻击增加的担忧。该漏洞的 CVSS 得分为 8.8，允许攻击者提升权限并在更高的完整性级别执行代码。

漏洞详情：

CVE-2024-49039 使攻击者能够绕过安全限制并以较高权限执行任意代码。此漏洞存在于 Windows 任务调度程序服务中，该服务是负责调度和自动执行任务的关键组件。利用该漏洞，攻击者可在系统中获得立足点，并有可能完全控制系统。

野外利用：

以复杂攻击著称的 RomCom 网络犯罪团伙在最近针对欧洲和北美火狐浏览器和 Tor 浏览器用户的攻击活动中积极利用了这一零日漏洞。这些攻击涉及将 CVE-2024-49039 与 Firefox 中的另一个零日漏洞（CVE-2024-9680）进行连锁，以实现在浏览器沙盒外执行代码。

技术分析：

该漏洞可能源于 WPTaskScheduler.dll 组件中的一个漏洞，自 Windows 10 1507 版起，该组件与任务计划程序密不可分。分析表明，该漏洞允许攻击者绕过 “受限令牌沙箱 ”和子进程限制等安全措施，从而有效地将其权限提升至 “中等完整性 ”级别。

PoC 可用性和影响：

在 Github 上发布 PoC 代码进一步扩大了风险，因为它为恶意行为者提供了利用 CVE-2024-49039 的现成工具。这种情况要求用户和组织立即采取行动，以减轻潜在威胁。

缓解措施

微软通过 11 月 12 日发布的安全更新解决了这一漏洞。强烈建议用户尽快应用此更新以保护其系统。此外，维护更新软件并在打开可疑电子邮件或点击未知链接时保持谨慎，也有助于防止成为此类攻击的受害者。