Impersonation de token.

Technique d'elevation de privileges Windows (MITRE ATT&CK T1134) ou un attaquant duplique un token d'acces existant et l'utilise pour executer du code dans le contexte d'un autre utilisateur. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Technique d'elevation de privileges Windows (MITRE ATT&CK T1134) ou un attaquant duplique un token d'acces existant et l'utilise pour executer du code dans le contexte d'un autre utilisateur.

L'impersonation de token abuse du modele de tokens Windows : chaque thread peut porter un token d'acces qui definit l'identite sous laquelle il agit. A l'aide d'APIs comme OpenProcessToken, DuplicateTokenEx et ImpersonateLoggedOnUser (ou SetThreadToken), un attaquant disposant de privileges suffisants (souvent SeImpersonatePrivilege, SeAssignPrimaryToken ou SeDebugPrivilege) peut voler un token a privileges eleves — par exemple le token SYSTEM de services.exe — et lancer un nouveau processus sous cet utilisateur. Les frameworks comme steal_token de Cobalt Strike, incognito de Metasploit et token::elevate de Mimikatz automatisent la technique. ATT&CK la classe sous T1134 Access Token Manipulation avec les sous-techniques Make and Impersonate Token, Create Process with Token et Parent PID Spoofing. La detection s'appuie sur les anomalies Sysmon Event 1/10 et la correlation 4673/4624 par token-id.

Les défenses contre Impersonation de token combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : manipulation de jetons d'acces, T1134.