@Motzi: Da blick ich nicht durch? Impersonated heisst immer noch nicht, dass der Service aus seiner WindowStation raus kann!
Wenn beispielsweise der Service mit Administrator-Credentials gestartet wird, wird eine eigene Logon-Session angelegt und fuer den Service eine WindowStation mit der Hex-Repraesentation der LogonSessionID.

Das hat aber nix mit WinSta0 und dem Default-Desktop zu tun ... um Zugrff auf die zu erhalten muss man die DACLs anpassen. Aber IMO wird das auch nicht ermoeglichen SendMessage zu benutzen. Einzige Chance koennte sein den Service interaktiv zu starten, was aber wieder Angriffspunkt fuer Shatter-Attack und andere aehnliche Angriffe bietet

Ich sehe also keine praktikable Moeglichkeit ausser eben einer anderen IPC-Methode.

@Motzi: Wollen wir mal gemeinsam ein Tut schreiben? *g*