黑客透露无密码劫持Windows用户会话的最简单方法

以色列安全研究员亚历山大·科尔兹尼科夫（Alexander Korznikov）最近证明，本地特权用户甚至可以使用内置命令行工具劫持任何具有更高权限的登录Windows用户的会话，而不知道该用户的密码。

这个技巧适用于几乎所有版本的Windows操作系统，不需要任何特权。科尔兹尼科夫本人无法确定这是Windows功能还是安全漏洞。

科尔兹尼科夫发现的这个问题并不完全是新问题，因为法国安全研究员本杰明·德尔皮（Benjamin Delpy）大约六年前在他的博客上详细介绍了一种类似的用户会话劫持技术。
Korznikov将此次攻击称为“权限提升和会话劫持”，这可能会让攻击者劫持高权限用户的会话，并获得对应用程序和其他敏感数据的未经授权访问。

为了成功利用此漏洞，攻击者需要物理访问目标机器，但需要在被黑客攻击的机器上使用远程桌面协议（RDP）会话；攻击也可以远程执行。

视频演示和PoC攻击发布！

Korznikov还提供了一些成功会话劫持的视频演示（使用任务管理器、服务创建以及命令行），以及概念验证（PoC）漏洞。

Korznikov在最新的Windows 10、Windows 7、Windows Server 2008和Windows Server 2012 R2上成功测试了该漏洞，但另一名研究人员在Twitter上证实，该漏洞在每个Windows版本上都有效，即使工作站已锁定。

虽然微软不认为这是一个安全漏洞，一些专家认为拥有管理权限的Windows用户可以做任何事情，但Korznikov解释了一个简单的攻击场景，以解释恶意内部人员如何容易滥用该漏洞：

“一些银行员工可以访问计费系统及其登录凭据。有一天，他来上班，登录计费系统并开始工作。午餐时间，他锁上工作站，出去吃午饭。同时，系统管理员可以利用此漏洞访问员工的工作站。”

“根据银行的政策，管理员的帐户不应访问计费系统，但通过windows中的几个内置命令，该系统管理员将劫持员工的桌面，并将其锁定。从现在起，系统管理员可以作为计费员工帐户在计费系统中执行恶意操作。”

毫无疑问，攻击者也可以转储系统内存，以明文形式检索用户密码，但与仅运行tscon相比，这是一个漫长而复杂的过程。没有留下任何跟踪和使用任何外部工具的会话号。

微软公司自六年以来就已经知道这个问题，因此它很可能不认为这是一个安全系统漏洞，因为它需要计算机上的本地管理权限，并且认为这是它的操作系统应该如何运行的。