漏洞详细信息：

CVE-2024-49039 使攻击者能够绕过安全限制并以提升的权限执行任意代码。此漏洞存在于 Windows 任务计划程序服务中，该服务是负责安排和自动执行任务的关键组件。通过利用此漏洞，攻击者可以进入系统并可能完全控制系统。

野外利用：

RomCom 网络犯罪团伙以其复杂的攻击而闻名，据观察，该团伙在最近针对欧洲和北美的 Firefox 和 Tor 浏览器用户的活动中积极利用此零日漏洞。这些攻击涉及将 CVE-2024-49039 与 Firefox 中的另一个零日漏洞 (CVE-2024-9680) 结合起来，以实现在浏览器沙盒之外执行代码。

技术分析：

该漏洞可能源于WPTaskScheduler.dll 组件中的一个缺陷，该组件自 Windows 10 版本 1507 以来一直是任务计划程序不可或缺的一部分。分析表明，此漏洞允许攻击者绕过受限令牌沙盒和子进程限制等安全措施，从而有效地将其权限提升到中等完整性级别。

PoC 可用性和影响：

Github上 PoC 代码的发布进一步放大了风险，因为它为恶意行为者提供了利用 CVE-2024-49039 的现成工具。这种情况需要用户和组织立即采取行动，以减轻潜在威胁。

缓解：

微软于 11 月 12 日发布了安全更新来解决此漏洞。强烈建议用户尽快应用此更新以保护其系统。此外，保持软件更新并在打开可疑电子邮件或点击未知链接时保持谨慎有助于防止成为此类攻击的受害者。

https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039