一種會話劫持技術通殺全部Windows版本，但這真的是漏洞嗎…

大家知道本地系統訪問許可權的Windows用戶可以重置其他用戶的密碼，但其實，本地許可權用戶還可以劫持其他用戶的會話呢，包括管理員用戶，而這個過程不需要知道用戶密碼。

以色列安全研究員Alexander Korznikov在個人博客中披露，本地高許可權用戶可以劫持任何已登錄Windows用戶會話，而不需要知曉用戶密碼，所需工具也僅僅是內置命令行工具。即便已登錄用戶許可權較高，也難以倖免。

發現過程

首先我們來看段視頻：RDP劫持有sethc後門的主機

Korznikov最近在研究sethc/utilman登錄界面後門，基本上每次都只用到了命令行。一個偶然的情況下，Korznikov查看了任務管理器（taskmgr.exe）中的用戶項，然後點擊「連接」，居然真的可以連上選中用戶的會話。

Korznikov再用本地管理員許可權嘗試，發現這時就需要用戶密碼了。

注意事項

1. 必須要有全面控制訪問許可權或者能夠連接的訪問許可權，來連接到另一個會話。

2. 用/dest:參數，可連接不同用戶的會話。

3. 如果在參數中沒有指定特定密碼，且目標會話不是當前用戶會話，那麼tscon就會失效。

其實就是Windows登錄界面的粘滯鍵是使用NT AUTHORITY/SYSTEM用戶身份運行的，也就是以系統身份運行，擁有完全控制訪問許可權，可以連接到任一用戶會話，無需密碼。

這就有了我們上面所說的會話劫持。這裡最有趣的點在於，用這個技術去劫持，系統不會請求合法用戶登出，而是在沒有任何通知的情況下，直接將用戶踢出。

漏洞細節

本地用戶若能獲取NT AUTHORITY/SYSTEM許可權執行命令，就能夠劫持任何處於已登錄用戶的會話，而無需獲得該用戶的登錄憑證。終端服務會話可以是連接狀態也可以是未連接狀態。

Korznikov認為這是個高危漏洞，可允許任何本地管理員劫持會話並訪問：

1. 域管理員會話；

2. 被劫持用戶正在處理的任何未保存文件；

3. 被劫持用戶先前登錄的任何其他系統或應用（可能包括其他遠程桌面會話、網路共享映射、需要其他登錄憑證的應用、郵箱等）

實現條件

要成功利用，攻擊者必須物理接觸目標設備；不過，用RDP會話，也可以遠程實現攻擊。

影響版本

Windows 2016（推特用戶@GossiTheDog證實）

Windows 2012 R2

Windows 2008

Windows 10

Windows 7

PoC

用命令行實現，這個微軟文檔可以幫助我們：https://technet.microsoft.com/en-us/library/cc771505(v=ws.11).aspx

實現這些只需要NT AUTHORITY/SYSTEM命令行。用psexec很容易實現，但前提是要有psexec.exe

psexec -s \localhost cmd

另一種方法是創建一個服務，來連接目標會話。

1. 獲取所有會話信息：

C:Windowssystem32>query user

USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME

administrator 1 Disc 1 3/12/2017 3:07 PM

>localadmin rdp-tcp#55 2 Active . 3/12/2017 3:10 PM

C:Windowssystem32>

2. 創建劫持用戶會話的服務

C:Windowssystem32>sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#55"

[SC] CreateService SUCCESS

3. 啟動服務

net setart sesshijack

之後，當前會話就會替換成目標

視頻

用命令行在Windows7上實現

用創建服務在Windows12 R2上實現

這個真的是漏洞么？

Korznikov發現的這個問題並不完全是新的，六年前，有個名叫Benjamin Delpy的法國安全研究員也在自己的博客中記錄了類似的用戶會話劫持技術。

所以，其實微軟早就意識到這個問題的存在了，不過微軟很可能沒有將其視為漏洞，畢竟需要目標設備的本地管理員許可權，微軟很可能認為這是操作系統應有的行為。

安全研究員觀點

可能有人會認為這不算漏洞。但Korznikov認為它還是有很高的利用價值，他舉了個例子來說明：

某銀行職員能夠訪問賬務系統，並有登錄憑證。

某天，該職員正常來上班，登錄賬務系統，並開始日常的工作。然後，到吃飯的點了，他就鎖定了工作站，吃飯去了。

這時候，某系統管理員接近該員工的工作站，然後用管理員賬戶登錄。根據銀行的政策，管理員賬戶不能訪問賬務系統，但是只需要幾行內置命令，這個管理員就可以劫持去吃飯的員工鎖定的桌面。得手之後，這個管理員就可以以賬務員工身份在賬戶系統中為所欲為。

Korznikov認為像這樣的例子還有很多啊！

而且，攻擊者不需要metasploit、incognito、mimikatz這樣的工具，只要內置命令就可以！每一個管理員都可以偽裝成任何登錄用戶，這個可以在物理訪問的情況下實現，也可以通過遠程桌面協議實現。

Korznikov還就這個問題跟6年前的發現者Benjamin Delpy溝通了一番，Delpy認為：「這是正常的Windows API，這就是設計流程，他們就這樣用。像你之前提到的一樣，如果你是管理員，你什麼都能做。那麼你為什麼成為管理員以及如何成為管理員？如果某個低許可權用戶本地提權成為管理員，那才是問題，並不是我們討論的設計流程。你什麼都能做，你還可以修改終端服務，讓該服務接受你的token並允許影子模式，而用戶完全不會知道這個事情。」

*參考來源：thehackernews、korznikov的博客，FB小編kuma編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！