Local Security Authority Subsystem Service

lsass.exe (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows.

Fonctionnement

Durant le processus de démarrage de Windows NT, c'est le premier Winlogon qui lance lsass.exe.

Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'après les informations de l'annuaire Active Directory en utilisant les DLL ntdsa.dll^[1] (NT Directory System Agent) et esent.dll (Extensible Storage Engine NT).

Les utilisateurs locaux sont identifiés d'après les informations de la SAM. Les protocoles d'identification possibles sont : NTLM, SSL ou Kerberos (v5).

Cet exécutable existait dès la première version de Windows NT en 1993.

Les services

Les principaux services qui utilisent lsass.exe sont :

• Les deux services liés à IPsec :
  • Agent de stratégie IPSEC,
  • Services IPSEC ;
• Centre de distribution de clés Kerberos ;
• Emplacement protégé : en pratique, emplacement des clés privées. L'algorithme de chiffrement est HMAC (Hash-Based Message Authentication Code) et la fonction de hachage cryptographique est SHA-1 ;
• Fournisseur de la prise en charge de sécurité NTLM (NT Lan Manager) ;
• Gestionnaire de comptes de sécurité.
• Ouverture de session réseau (en américain : Net LOGON) : identification par un contrôleur de domaine. Sous Windows 2000 et les versions postérieures, le contrôleur de domaine utilise l'annuaire Active Directory ;
• Service d'annuaire Microsoft Active Directory.

Incidents

Virus

En 2004, le fichier lsass.exe était la cible du ver sasser. Microsoft avait livré un correctif de sécurité le 13 avril 2004, mais le ver est arrivé 17 jours plus tard et de nombreuses personnes n'avaient pas encore installé le correctif^[2]. Le fichier était enregistré comme vulnérable aux scripts encodés en ASN.1 BER^[3].

De nombreux virus imitent le nom de fichier lsass.exe pour éviter leur détection. Si un fichier lsass.exe n'est pas rangé dans le dossier System32, ou si sa taille dépasse les 100KB, il s'agit assurément d'un fichier malicieux^[4].

Arrêt de service

Théoriquement, un arrêt de lsass.exe provoque un reboot de l'ordinateur (cela a été fait pour garantir la sécurité), sauf si le gestionnaire de session (smss.exe) est présent^[5].

Sous Windows XP (Service Pack 2 ou non), un arrêt de smss.exe, suivi d'un arrêt de lsass.exe ne provoque pas un reboot de Windows XP. Néanmoins, l'utilisateur ne peut plus rien faire, il est obligé de faire un reset de l'ordinateur (ou de l'arrêter électriquement).

Notes et références

1. (en) DSA (Directory System Agent)
2. « Win32/Sasser threat description - Microsoft Security Intelligence », sur www.microsoft.com (consulté le 5 octobre 2024)
3. « NVD - CVE-2003-0818 », sur nvd.nist.gov (consulté le 5 octobre 2024)
4. (en) Tim Fisher, « Lsass.exe: What It Is & How It Affects Your Computer », sur Lifewire, 13 juillet 2022 (consulté le 5 octobre 2024)
5. (en) Mark Russinovich, « Running Windows With No Services » [archive du 17 juillet 2006], sur Sysinternals.org, 24 juillet 2005 (consulté le 5 octobre 2024)

Liens externes

• Utilisation de la mémoire par le processus Lsass.exe
• (en) Comment fonctionne le stockage de données dans Active Directory

• Portail de la sécurité informatique
• Portail de la cryptologie
• Portail de Microsoft