Laut Talos-Intelligence:
Der Angreifer nutzte häufig Techniken zur Umgehung der Windows-Anmeldung, um die Fähigkeit aufrechtzuerhalten, mit erhöhten Rechten auf Systeme in der Umgebung zuzugreifen. Sie verließen sich häufig auf PSEXESVC.exe, um die folgenden Registrierungsschlüsselwerte remote hinzuzufügen:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe /v Debugger /t REG_SZ /d C:\windows\system32\cmd.exe /f
…sowie:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe /v Debugger /t REG_SZ /d C:\windows\system32\cmd.exe /f
Dies ermöglichte es dem Angreifer, die auf dem Windows-Anmeldebildschirm vorhandenen Barrierefreiheitsfunktionen zu nutzen, um eine Eingabeaufforderung auf SYSTEM-Ebene zu erzeugen, die ihm die vollständige Kontrolle über die Systeme gewährte. In mehreren Fällen haben wir beobachtet, dass der Angreifer diese Schlüssel hinzufügt, aber nicht weiter mit dem System interagiert, möglicherweise als Persistenzmechanismus, der später verwendet wird, wenn sein primärer privilegierter Zugriff widerrufen wird.
Ein Angriffs-Vektor also, den man schon seit Windows XP kennt (man erinnere sich mal an "utilman.exe ^^ ). Aber gut, das war nicht die einzige Stelle in der Analyse von Talos-Intelligence, die mir ein Lächeln ins Gesicht gezaubert hatte! Erst recht, wenn man bedenkt, was CISCO einem schon seit über 20 Jahren, bei der Ausbildung und Zertifizierung zum CNA / CNAA versucht zu erzählen… 