Le mouvement latéral est une composante essentielle des tests d’intrusion. Cette phase peut être fastidieuse si les cibles sont correctement protégées. L’outil « lsassy » répond à ce besoin en permettant d’extraire à distance les secrets présents sur des machines.
Lors de tests d’intrusion internes, l’auditeur doit souvent passer par une ou plusieurs phases de mouvements latéraux. L’une des techniques les plus utilisées est de rejouer le secret d’un administrateur local sur un ensemble de machines qui possède le même compte local d’administration. Un des objectifs de ce mouvement latéral est de découvrir les identifiants permettant une élévation de privilèges.
L’outil lsassy répond à ce besoin en permettant d’extraire les secrets enregistrés dans le processus lsass sur les machines distantes sans utiliser de logiciels tiers, ce qui permet de réduire significativement la détection par des antivirus.
1. Secrets dans lsass
Pour bien comprendre l’intérêt de l’outil lsassy, il convient de faire un point rapide sur le processus lsass.exe, ou Local Security Authority Subsystem Service.
Ce processus est essentiel au bon fonctionnement d’un système Windows. Il est l’élément pivot lorsqu’une...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première