Skip to content

L'EDR signale un processus lisant la mémoire de LSASS. Pourquoi est-ce important et que faites-vous ?

Réponse courte

LSASS stocke des identifiants et secrets en cache, donc un processus inattendu lisant sa mémoire est la signature d'un vol d'identifiants (par exemple un dump de type mimikatz). Triez le processus fautif et son parent, isolez l'hôte pour stopper le mouvement latéral, et renouvelez les identifiants susceptibles d'avoir été capturés — y compris les comptes privilégiés et de service. Cela n'a rien à voir avec le rendu graphique ou l'espace disque, et l'ignorer comme normal peut mener à une compromission de tout le domaine. Les distracteurs d'apparence anodine sont précisément la façon dont les analystes ratent une intrusion active.

LSASS (Local Security Authority Subsystem Service) est le processus Windows qui gère l'authentification et qui, ce faisant, conserve du matériel d'identification en mémoire — empreintes de mots de passe, tickets Kerberos, et parfois secrets en cache. Cela fait de sa mémoire la cible la plus riche d'un hôte Windows. Un processus inattendu ouvrant un handle vers LSASS et lisant sa mémoire est la signature classique du dump d'identifiants, la technique derrière des outils comme Mimikatz.

Pourquoi c'est si important

Les identifiants volés dans LSASS permettent le mouvement latéral et l'élévation de privilèges. Avec une empreinte capturée, un attaquant peut faire du pass-the-hash vers d'autres systèmes ; avec un ticket Kerberos, il peut se déplacer en tant qu'utilisateur réel ; avec les identifiants d'un administrateur de domaine, il peut prendre tout le domaine. Un seul dump de LSASS peut transformer un ordinateur portable compromis en compromission complète d'Active Directory. Ce n'est pas un événement de faible gravité.

Que faire

  • Enquêtez sur le processus et son parent — de quoi s'agit-il, d'où a-t-il été exécuté, qui l'a lancé, est-il signé ?
  • Isolez l'hôte via l'EDR pour couper le mouvement latéral tout en préservant les preuves volatiles.
  • Renouvelez les identifiants exposés — chaque compte ayant eu une session sur cet hôte, en priorisant les comptes privilégiés et de service ; si des contrôleurs de domaine ou des administrateurs de domaine étaient concernés, considérez le domaine comme compromis.

Pourquoi les distracteurs échouent

  • « Comportement normal de Windows — l'ignorer » est la manière dont une vraie compromission passe inaperçue. Certains processus signés touchent bien à LSASS, mais vous le confirmez ; vous ne le présumez pas.
  • « N'affecte que le rendu graphique » et « le disque est plein » sont absurdes — LSASS n'a rien à voir avec le GPU ou le stockage. Ils sont là pour piéger un candidat qui ne sait pas vraiment ce qu'est LSASS.

Ce que l'examinateur cherche à évaluer

Si vous savez relier « processus lisant LSASS » au vol d'identifiants et à un incident potentiel à l'échelle du domaine, et si votre instinct est isoler-et-renouveler, et non d'écarter.

Questions de suivi probables

  • Quels processus légitimes accèdent à LSASS, et comment les distinguez-vous d'un outil de dump ?
  • Comment Credential Guard ou le mode processus protégé (PPL) de LSASS modifierait-il les options de l'attaquant ?
  • Quels identifiants faut-il renouveler en premier, et comment gérez-vous le krbtgt Kerberos s'il a été exposé ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.