Impersonacion de token
¿Qué es Impersonacion de token?
Impersonacion de tokenTecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario.
La impersonacion de token abusa del modelo de tokens de Windows: cada hilo puede llevar un token de acceso que define con que identidad actua. Usando APIs como OpenProcessToken, DuplicateTokenEx e ImpersonateLoggedOnUser (o SetThreadToken), un atacante con privilegio suficiente (normalmente SeImpersonatePrivilege, SeAssignPrimaryToken o SeDebugPrivilege) puede robar un token de mayor privilegio —por ejemplo el token SYSTEM de services.exe— y lanzar un proceso como ese usuario. Frameworks como steal_token de Cobalt Strike, incognito de Metasploit y token::elevate de Mimikatz automatizan la tecnica. ATT&CK la cataloga como T1134 Access Token Manipulation con subtecnicas Make and Impersonate Token, Create Process with Token y Parent PID Spoofing. La deteccion se centra en anomalias en Sysmon Event 1/10 y en la correlacion de 4673/4624 por token-id.
● Ejemplos
- 01
Usar steal_token de Cobalt Strike sobre un proceso SYSTEM para lanzar cmd.exe como NT AUTHORITY\SYSTEM.
- 02
Ejecutar token::elevate de Mimikatz tras obtener SeDebugPrivilege para impersonar el token de LSASS.
● Preguntas frecuentes
¿Qué es Impersonacion de token?
Tecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Impersonacion de token?
Tecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario.
¿Cómo funciona Impersonacion de token?
La impersonacion de token abusa del modelo de tokens de Windows: cada hilo puede llevar un token de acceso que define con que identidad actua. Usando APIs como OpenProcessToken, DuplicateTokenEx e ImpersonateLoggedOnUser (o SetThreadToken), un atacante con privilegio suficiente (normalmente SeImpersonatePrivilege, SeAssignPrimaryToken o SeDebugPrivilege) puede robar un token de mayor privilegio —por ejemplo el token SYSTEM de services.exe— y lanzar un proceso como ese usuario. Frameworks como steal_token de Cobalt Strike, incognito de Metasploit y token::elevate de Mimikatz automatizan la tecnica. ATT&CK la cataloga como T1134 Access Token Manipulation con subtecnicas Make and Impersonate Token, Create Process with Token y Parent PID Spoofing. La deteccion se centra en anomalias en Sysmon Event 1/10 y en la correlacion de 4673/4624 por token-id.
¿Cómo defenderse de Impersonacion de token?
Las defensas contra Impersonacion de token combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Impersonacion de token?
Nombres alternativos comunes: manipulacion de tokens de acceso, T1134.
● Términos relacionados
- identity-access№ 1002
SeDebugPrivilege
Privilegio de Windows muy potente que permite abrir, leer y modificar la memoria de cualquier proceso —incluido LSASS— y por tanto es un objetivo prioritario para el robo de credenciales.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- identity-access№ 1194
Control de cuentas de usuario (UAC)
Funcion de seguridad de Windows introducida en Vista que ejecuta las sesiones interactivas con un token limitado y pide consentimiento o credenciales antes de elevar una accion administrativa.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.