Alerta Crítico: Ativação Entre Sessões Permite Ataques DCOM e Sequestro de Sessões

A Purple Team detalhou a Ativação Entre Sessões (MITRE T1021.003), uma técnica de movimento lateral via DCOM onde atacantes com privilégios elevados sequestram CLSIDs configurados com RunAs=Interactive User para executar código dentro da sessão de outro usuário logado. Isso é realizado por meio de CoCreateInstanceEx e SetSessionId. O relatório inclui Proofs-of-Concept (PoCs) de Michael Zhmailo (IHxExec, sppui) e Andrew Oliveau (SessionHop), além de tooling como PermissionHunter, ComDiver e ComHijackWrite.

AppIDs de alta prioridade suscetíveis a sequestro incluem Speech Runtime, sppui, Auth UI CredUI, ShellServiceHost e ActivatableApplicationRegistrar, todos acessíveis uma vez que o Remote Registry é iniciado e uma DLL é dropada via compartilhamento administrativo. Para defesa, é crucial monitorar processos filhos anômalos de HelpPane.exe e slui.exe (Event ID 4688), habilitar a Auditoria de Registro nos CLSIDs listados para capturar o Event ID 4663, e verificar os hooks de EDR nas APIs WTSEnumerateSessions/WinStation* usadas durante a descoberta de sessões.