Impersonacion de token
¿Qué es Impersonacion de token?
Impersonacion de tokenTecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario.
La impersonacion de token abusa del modelo de tokens de Windows: cada hilo puede llevar un token de acceso que define con que identidad actua. Usando APIs como OpenProcessToken, DuplicateTokenEx e ImpersonateLoggedOnUser (o SetThreadToken), un atacante con privilegio suficiente (normalmente SeImpersonatePrivilege, SeAssignPrimaryToken o SeDebugPrivilege) puede robar un token de mayor privilegio —por ejemplo el token SYSTEM de services.exe— y lanzar un proceso como ese usuario. Frameworks como steal_token de Cobalt Strike, incognito de Metasploit y token::elevate de Mimikatz automatizan la tecnica. ATT&CK la cataloga como T1134 Access Token Manipulation con subtecnicas Make and Impersonate Token, Create Process with Token y Parent PID Spoofing. La deteccion se centra en anomalias en Sysmon Event 1/10 y en la correlacion de 4673/4624 por token-id.
● Ejemplos
- 01
Usar steal_token de Cobalt Strike sobre un proceso SYSTEM para lanzar cmd.exe como NT AUTHORITY\SYSTEM.
- 02
Ejecutar token::elevate de Mimikatz tras obtener SeDebugPrivilege para impersonar el token de LSASS.
● Preguntas frecuentes
¿Qué es Impersonacion de token?
Tecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Impersonacion de token?
Tecnica de escalada de privilegios en Windows (MITRE ATT&CK T1134) en la que un atacante duplica un token de acceso existente y lo usa para ejecutar codigo en el contexto de otro usuario.
¿Cómo defenderse de Impersonacion de token?
Las defensas contra Impersonacion de token combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Impersonacion de token?
Nombres alternativos comunes: manipulacion de tokens de acceso, T1134.