Comprar curso YouTube Twitter LinkedIn

LSASS

El servicio Local Security Authority Subsystem Service (LSASS) en sistemas operativos Windows es crucial para la administración de la política de seguridad y maneja la autenticación de usuarios en el sistema local. Para un pentester, el entendimiento profundo de LSASS y cómo interactúa con los componentes de seguridad de Windows es fundamental para la evaluación de la postura de seguridad de un sistema y la ejecución de ciertas formas de ataques. Aquí hay varios aspectos de LSASS que son de especial interés:

Función y Rol de LSASS

  • Autenticación: LSASS es responsable de la autenticación de usuarios para las sesiones de inicio de sesión en una computadora.

  • Creación de Tokens: Cuando se autentica a un usuario, LSASS genera un "token de acceso" que contiene los derechos y privilegios del usuario.

  • Almacenamiento de Credenciales: En el proceso de LSASS, las credenciales, como hashes de contraseñas y tickets Kerberos, son almacenados en la memoria.

Ataques y Tácticas Asociadas con LSASS

  • Dumping de Credenciales: Las herramientas de extracción de credenciales como Mimikatz explotan el acceso a LSASS para obtener hashes de contraseñas y tickets de autenticación.

  • Pass-the-Hash / Pass-the-Ticket: Las credenciales extraídas pueden ser usadas para realizar estos ataques, permitiendo a los atacantes autenticarse como otro usuario sin conocer la contraseña en texto claro.

  • Inyección de Código: Los atacantes pueden intentar inyectar código malicioso en el proceso LSASS para interceptar credenciales o elevar privilegios.

Técnicas de Protección y Evasión

  • Protección de Memoria: Los pentesters deben estar al tanto de las características como Credential Guard que protegen la memoria de LSASS.

  • Detección de Anomalías: La manipulación de LSASS puede disparar alertas en soluciones de detección de intrusiones y en los sistemas de protección contra malware.

  • Técnicas de Evasión: Para evitar la detección, los pentesters pueden necesitar usar técnicas de evasión o desarrollar nuevas herramientas que no estén firmadas por firmas de AV.

AnteriorQué es MimikatzSiguienteExtraccion de credenciales con Mimikatz con binario

Última actualización