[TALK] 🇫🇷 Abuser des tokens Windows dans le but de compromettre un Active Directory

Sous Windows, l'authentification est gérée par le processus Lsass. La plupart du temps lorsqu'un attaquant compromet une machine il va tenter de dumper la RAM du processus LSASS dans le but d'en extraire les secrets d'authentification présents. Il pourra ensuite tenter de les rejouer sur d'autres serveurs dans le but d'élever ses privilèges et d'élargir son périmètre de compromission.

About Aurélien CHALOT

Hacker, sysadmin and security researcher @OrangeCyberdef 💻
Calisthenic enthousiast 💪

fa-twitter: TWITTER