# LSASS

El servicio Local Security Authority Subsystem Service (LSASS) en sistemas operativos Windows es crucial para la administración de la política de seguridad y maneja la autenticación de usuarios en el sistema local. Para un pentester, el entendimiento profundo de LSASS y cómo interactúa con los componentes de seguridad de Windows es fundamental para la evaluación de la postura de seguridad de un sistema y la ejecución de ciertas formas de ataques. Aquí hay varios aspectos de LSASS que son de especial interés:

<figure><img src="/files/reu4uf6eMa7PLHVFjylf" alt=""><figcaption></figcaption></figure>

## <mark style="color:red;">Función y Rol de LSASS</mark>

* <mark style="color:red;">**Autenticación**</mark><mark style="color:red;">:</mark> LSASS es responsable de la autenticación de usuarios para las sesiones de inicio de sesión en una computadora.
* <mark style="color:red;">**Creación de Tokens**</mark><mark style="color:red;">:</mark> Cuando se autentica a un usuario, LSASS genera un "token de acceso" que contiene los derechos y privilegios del usuario.
* <mark style="color:red;">**Almacenamiento de Credenciales**</mark><mark style="color:red;">:</mark> En el proceso de LSASS, las credenciales, como hashes de contraseñas y tickets Kerberos, son almacenados en la memoria.

## <mark style="color:red;">Ataques y Tácticas Asociadas con LSASS</mark>

* <mark style="color:red;">**Dumping de Credenciales**</mark><mark style="color:red;">:</mark> Las herramientas de extracción de credenciales como Mimikatz explotan el acceso a LSASS para obtener hashes de contraseñas y tickets de autenticación.
* <mark style="color:red;">**Pass-the-Hash / Pass-the-Ticket**</mark><mark style="color:red;">:</mark> Las credenciales extraídas pueden ser usadas para realizar estos ataques, permitiendo a los atacantes autenticarse como otro usuario sin conocer la contraseña en texto claro.
* <mark style="color:red;">**Inyección de Código**</mark><mark style="color:red;">:</mark> Los atacantes pueden intentar inyectar código malicioso en el proceso LSASS para interceptar credenciales o elevar privilegios.

## <mark style="color:red;">Técnicas de Protección y Evasión</mark>

* <mark style="color:red;">**Protección de Memoria**</mark><mark style="color:red;">:</mark> Los pentesters deben estar al tanto de las características como Credential Guard que protegen la memoria de LSASS.
* <mark style="color:red;">**Detección de Anomalías**</mark><mark style="color:red;">:</mark> La manipulación de LSASS puede disparar alertas en soluciones de detección de intrusiones y en los sistemas de protección contra malware.
* <mark style="color:red;">**Técnicas de Evasión**</mark><mark style="color:red;">:</mark> Para evitar la detección, los pentesters pueden necesitar usar técnicas de evasión o desarrollar nuevas herramientas que no estén firmadas por firmas de AV.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpad/persistencia-en-windows-local/que-es-mimikatz/lsass.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.