LSASS (Local Security Authority Subsystem Service)

LSASS (Local Security Authority Subsystem Service, lsass.exe) est le processus Windows responsable de l'application des politiques de sécurité locales : authentification des utilisateurs, gestion des tokens, vérification des mots de passe, génération des access tokens. Il stocke en mémoire les credentials des utilisateurs interactivement connectés (hashes NTLM, tickets Kerberos, mots de passe Wdigest sur anciens systèmes, secrets DPAPI) — ce qui en fait la cible n°1 des attaquants post-compromission.

L'extraction de la mémoire LSASS (LSASS dump) est l'étape clé pour récupérer les credentials en cleartext ou hashes. Méthodes : (1) mimikatz sekurlsa::logonpasswords ; (2) procdump.exe -ma lsass.exe lsass.dmp puis analyse offline avec pypykatz ; (3) comsvcs.dll MiniDump via rundll32 ; (4) Task Manager > Create dump file (nécessite admin) ; (5) Process Hacker. Les attaquants préfèrent les méthodes "living off the land" (LOLBINs) pour éviter la détection.

Protections Windows modernes : (1) LSA Protection (RunAsPPL=1 dans registre) — fait tourner LSASS comme Protected Process Light, bloquant l'accès mémoire même pour SYSTEM (mais bypassable avec PPLKiller, mimikatz !+) ; (2) Credential Guard (Windows 10+ avec VBS) — isole LSAIso dans une VM hyperviseur, les secrets ne sont jamais dans la mémoire utilisateur ; (3) ASR rules "Block credential stealing from LSASS" dans Microsoft Defender ; (4) ELAM (Early Launch Anti-Malware) ; (5) attestation device health.

Détection : monitoring des accès à lsass.exe par des handles avec PROCESS_VM_READ (Event 4656/4663), Sysmon Event ID 10 (process access), corrélation avec processus non légitimes. La protection de LSASS est devenue prioritaire face à la prolifération des ransomwares.