RSS-Bridge was unable to find the content of this post.
בלי סיסמה, בלי יוזר, רק קיצור דרך קטן למצב SYSTEM 🔫זה לא סקופ ורובכם כנראה כבר מכירים. אבל כשאין יותר מדי אקשן בסייבר, זו הזדמנות לרענן ולתת ערך לחבר׳ה שדווקא עכשיו נכנסים לעולם הזה.מערכת ההפעלה Windows כוללת כלים לנגישות שמופעלים עוד לפני התחברות, כמו Narrator וזכוכית מגדלת. אחד מהם הוא
utilman.exe, והקטע הוא כשהוא רץ מהמסך הראשי, הוא רץ בהרשאות הכי גבוהות שיש:
NT AUTHORITY\SYSTEM.ומה עושים תוקפים חכמים? מנצלים את זה.
איך זה עובד בפועל?🔠 החלפת הקובץ:משתמשים עם גישה פיזית או הרשאות מספיקות יכולים להחליף את utilman.exe בקובץ אחר כמו cmd.exe וכך לחיצה על Win+U במסך ההתחברות פותחת shell עם SYSTEM.
🔠 עקיפה דרך רג׳יסטרי (IFEO): הוספת ערך Registry שמריץ cmd.exe במקום utilman.exe. כל הפעלה של utilman פותחת במקום זה PowerShell, reverse shell או מה שלא תבחר.
ולמה זה עדיין רלוונטי ב-2025? כי הכלי הזה משולב בקמפיינים של ransomware, תרגולי Red Team וגם תקיפות פיזיות על עמדות. הוא "לא מזיק" למראה אבל מאפשר הרצת קוד בלי סיסמה בכלל
.איך מתגוננים? מנטרים שינויים בקובץ utilman.exe (Hash/ACL), מבצעים Audit על מפתחות IFEO, מבטלים גישה לכלי נגישות לא נחוצים במסך ההתחברות, מוודאים שגיבוי של utilman נשמר חתום ומריצים תרגול Blue Team שכולל את זה כתרחיש בסיס.
כי לפעמים, התקיפה הכי מתוחכמת מתחילה עם קיצור מקלדת שנשאר שם כבר עשור.
😏➖➖➖➖➖➖➖➖➖➖➖➖🛡 Cyber |
😸 Memes |
🫂 Community 👑 VIP 
