DPAPI

Selon l’annonce du projet « LSA Whisperer BOF » (port de l’outil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacités d’accès aux paquets d’authentification Windows via l’API légitime LsaCallAuthenticationPackage, sans lecture mémoire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activés. 🔧 Capacités principales par module: MSV1_0: récupération de clés DPAPI (classiques et « strong »), génération de réponses NTLMv1 avec défi choisi. Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clés de session), purge sélective par nom de serveur. CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI). 🛠️ Architecture et intégration: ...

Source: Black Hat USA (présentation ERNW). Contexte: étude financée par le BSI allemand (2024–2026) visant à disséquer des composants de sécurité Windows, dont Windows Hello for Business (WHfB) et le Windows Biometric Service (WBS). Les chercheurs détaillent l’architecture de WHfB, l’initialisation et les pipelines du Windows Biometric Service, ainsi que le mode Enhanced Sign-in Security (ESS) impliquant VBS/VTL et l’isolement (BioIso.exe). Ils décrivent les flux d’authentification biométrique, l’intégration LSASS/TPM, et la gestion des unités biométriques (capteur/engine/storage). ...