听说本地Windows管理员可在没有密码的情况下劫持会话,这是如何实现的?如何阻止这中会话劫持?
Judith Myerson:如果攻击者具有本地Windows管理员权限,则可在不知道用户密码的情况下,远程劫持用户的会话。
如果目标用户被锁定在其工作站之外,攻击者可以访问工作站。此操作要求攻击者具有NT AUTHORITY/SYSTEM权限,他可使用whoami命令来查询。同时,攻击者必须设置远程桌面协议才能连接到受害者的机器。
在会话劫持开始之前,攻击者进入任务管理器的用户选项来查看每个用户账户的状态,任务管理器比命令行更容易获取用户状态。本地管理员账户需要始终处于活跃状态,控制台被分配作为会话名。例如,如果目标用户是银行职员,他去就餐之前停止了会话,则攻击者无法连接到员工的工作站。
在查看任务管理器后,攻击者会打开命令提示符窗口,并输入命令行来完成会话劫持。PsExec命令的参数(或选项)会被恶意更改,受害者的远程会话连接回到攻击者,攻击者返回任务管理器,并恶意访问受害者的会话。当受害者吃完午餐回来时,他不会知道自己已经被劫持。
以色列研究人员Alexander Korznikov在Windows 2012和Windows 2008服务器以及Windows 10和Windows 7测试了这种类型的会话劫持攻击。为了阻止这种类型的会话劫持攻击,应该建立组策略。此策略应该包括防止非特权用户获得本地管理员权限,该策略还应该阻止本地管理员返回用户的远程会话。
本文转自d1net(转载)
