Проект EvilLsassTwin на GitHub, размещенный в репозитории Nimperiments, посвящен конкретному методу извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) в системах Windows. 📌Цель: Цель проекта — продемонстрировать метод сброса учетных данных из процесса LSASS, который является распространенной целью злоумышленников, стремящихся получить конфиденциальную информацию, такую как пароли и токены. 📌Техника: Метод предполагает создание «двойника» процесса LSASS. Этот...

Два контроллера домена перезагружались одновременно два раза в сутки, примерно раз в 12 часов. Оба на Windows Server 2019. В журнале Directory Service регистрировалось событие: Warning event ID 1173 "Internal event: Active Directory Domain Services has encountered the following exception and associated parameters...

Несмотря на усилия Microsoft по улучшению безопасности Windows, исследователи продолжают находить лазейки в защитных механизмах. Специалист из Orange Cyberdefense обнаружил уязвимость, позволяющую выполнить произвольный код в процессе LSASS — важном компоненте Windows, отвечающем за хранение учётных данных пользователей. В июле 2022 года Microsoft обновила систему Protected Process Light (PPL), чтобы закрыть одну из уязвимостей, которая позволяла обходить защиту LSASS. Однако исследователи выяснили, что метод использования уязвимых библиотек (BYOVDLL) всё ещё возможен...