Autor Thema: Kennt jemand den Effekt, dass Notes ein whoami aufruft?  (Gelesen 1037 mal)

Offline ToBe

  • Frischling
  • *
  • Beiträge: 4
  • Geschlecht: Männlich
unsere Security hat herausgefunden, dass die nlnotes.exe ein whoami aufruft.
Hat jemand eine Idee, was dahinter stecken könnte?

Vielen Dank!

during the response to a potential security incident we observed following behavior of the Notes client which we want to further understand:
 
When starting the Notes client, the file “c:\program files (x86)\ibm\notes\nlnotes.exe” executes the following command:
-   "C:\Windows\System32\cmd.exe"  /c ""C:\Windows\System32\whoami.exe" /all > "C:\Users\waibest\AppData\Local\Temp\whoami.tmp""
 
The parameters of the parent nlnotes.exe can differ for each execution. Here some examples:
-   c:\program files (x86)\ibm\notes\nlnotes.exe
Torsten

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: Kennt jemand den Effekt, dass Notes ein whoami aufruft?
« Antwort #1 am: 25.06.21 - 15:42:21 »
Hmm, ich denke, dass das dazu verwendet wird, in einer multi user Installation zu ermitteln, welcher User angemeldet ist,und dann die richtigen Unterverzeichnisse anzusprechen.

Whoami.exe ermiitelt Domain und UserName des angemeldeten Users.

Bewusst aufgefallen ist mir das aber noch nicht.

Einfach einen Case bei HCL aufmachen und nachfragen
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz