A pesquisa demonstra como o mecanismo de Ativação Entre Sessões (CSA) pode ser abusado para executar código no contexto de um usuário interativo em um host local. A técnica depende do abuso de objetos DCOM e Windows COM configurados com o parâmetro RunAs=Interactive User.

Se um atacante com privilégios administrativos locais conseguir sequestrar o CLSID associado, o CSA pode ser usado para iniciar um processo sob o contexto do usuário ativo sem interagir diretamente com sua sessão. Isso torna a técnica valiosa para atividades de pós-exploração, roubo de tokens e maior escalonamento de privilégios.

📎 Artigo: https://ipurple.team/2026/05/04/cross-session-activation/

💬 Discutir

Ativação Entre Sessões via DCOM: Execução de Código em uma Sessão de Usuário Interativo