Skip to content

El EDR marca un proceso leyendo la memoria de LSASS. ¿Por qué importa y qué haces?

Respuesta breve

LSASS almacena credenciales y secretos en caché, así que un proceso inesperado leyendo su memoria es el sello del robo de credenciales (por ejemplo, un volcado de tipo mimikatz). Tría el proceso ofensor y su padre, aísla el host para detener el movimiento lateral, y rota las credenciales que pudieron capturarse — incluidas las cuentas privilegiadas y de servicio. No tiene nada que ver con el renderizado gráfico ni el espacio en disco, e ignorarlo como normal puede llevar a un compromiso de todo el dominio. Los distractores de apariencia inocua son justo cómo los analistas pasan por alto una intrusión activa.

LSASS (Local Security Authority Subsystem Service) es el proceso de Windows que gestiona la autenticación y que, al hacerlo, conserva material de credenciales en memoria — hashes de contraseñas, tickets Kerberos y, a veces, secretos en caché. Eso convierte su memoria en el objetivo más rico de un host Windows. Un proceso inesperado que abre un handle a LSASS y lee su memoria es la firma clásica del volcado de credenciales, la técnica detrás de herramientas como Mimikatz.

Por qué importa tanto

Las credenciales robadas de LSASS habilitan el movimiento lateral y la escalada de privilegios. Con un hash capturado, un atacante puede hacer pass-the-hash hacia otros sistemas; con un ticket Kerberos, puede moverse como un usuario real; con las credenciales de un administrador de dominio, puede tomar todo el dominio. Un solo volcado de LSASS puede convertir un portátil comprometido en una brecha completa de Active Directory. Esto no es un evento de baja gravedad.

Qué hacer

  • Investiga el proceso y su padre — qué es, desde dónde se ejecutó, quién lo lanzó, ¿está firmado?
  • Aísla el host vía EDR para cortar el movimiento lateral mientras preservas las pruebas volátiles.
  • Rota las credenciales expuestas — toda cuenta que tuviera una sesión en ese host, priorizando las cuentas privilegiadas y de servicio; si había controladores de dominio o administradores de dominio en el alcance, trata el dominio como comprometido.

Por qué fallan los distractores

  • «Comportamiento normal de Windows — ignorarlo» es cómo una brecha real pasa desapercibida. Algunos procesos firmados sí tocan LSASS, pero eso lo confirmas; no lo presumes.
  • «Solo afecta al renderizado gráfico» y «el disco está lleno» son disparates — LSASS no tiene nada que ver con la GPU ni el almacenamiento. Están ahí para atrapar a un candidato que no sabe realmente qué es LSASS.

Qué está evaluando el entrevistador

Si sabes conectar «proceso leyendo LSASS» con el robo de credenciales y un posible incidente a escala de dominio, y si tu instinto es aislar-y-rotar, no descartar.

Posibles preguntas de seguimiento

  • ¿Qué procesos legítimos sí acceden a LSASS, y cómo los distingues de una herramienta de volcado?
  • ¿Cómo cambiaría Credential Guard o el modo proceso protegido (PPL) de LSASS las opciones del atacante?
  • ¿Qué credenciales hay que rotar primero, y cómo gestionas el krbtgt de Kerberos si quedó expuesto?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.