SeDebugPrivilege
Qu'est-ce que SeDebugPrivilege ?
SeDebugPrivilegePrivilege Windows tres puissant qui autorise l'ouverture, la lecture et la modification de la memoire de tout processus — y compris LSASS — ce qui en fait une cible privilegiee pour le vol d'identifiants.
SeDebugPrivilege est un privilege Windows defini dans la Local Security Authority qui, lorsqu'il est detenu par un token de processus, permet d'ouvrir n'importe quel processus ou thread (y compris SYSTEM) avec PROCESS_ALL_ACCESS. Par defaut, il n'est accorde qu'au groupe local Administrators et aux processus s'executant en SYSTEM ; Microsoft documente qu'il equivaut, en pratique, a un compte administrateur. Mimikatz, ProcDump (pour vider LSASS) et les EDR ont besoin de ce privilege pour inspecter la memoire. Les attaquants l'adorent : avec SeDebugPrivilege, ils peuvent vider LSASS, detourner des tokens, injecter dans des processus proteges et desactiver les outils de securite. Les defenseurs surveillent les evenements 4673/4703 du journal Security, activent Credential Guard et retirent ce droit via GPO.
● Exemples
- 01
Un adversaire active SeDebugPrivilege sur un processus Mimikatz puis lance sekurlsa::logonpasswords pour vider LSASS.
- 02
ProcDump -ma utilise pour capturer un dump memoire de LSASS et extraire les identifiants hors ligne.
● Questions fréquentes
Qu'est-ce que SeDebugPrivilege ?
Privilege Windows tres puissant qui autorise l'ouverture, la lecture et la modification de la memoire de tout processus — y compris LSASS — ce qui en fait une cible privilegiee pour le vol d'identifiants. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie SeDebugPrivilege ?
Privilege Windows tres puissant qui autorise l'ouverture, la lecture et la modification de la memoire de tout processus — y compris LSASS — ce qui en fait une cible privilegiee pour le vol d'identifiants.
Comment fonctionne SeDebugPrivilege ?
SeDebugPrivilege est un privilege Windows defini dans la Local Security Authority qui, lorsqu'il est detenu par un token de processus, permet d'ouvrir n'importe quel processus ou thread (y compris SYSTEM) avec PROCESS_ALL_ACCESS. Par defaut, il n'est accorde qu'au groupe local Administrators et aux processus s'executant en SYSTEM ; Microsoft documente qu'il equivaut, en pratique, a un compte administrateur. Mimikatz, ProcDump (pour vider LSASS) et les EDR ont besoin de ce privilege pour inspecter la memoire. Les attaquants l'adorent : avec SeDebugPrivilege, ils peuvent vider LSASS, detourner des tokens, injecter dans des processus proteges et desactiver les outils de securite. Les defenseurs surveillent les evenements 4673/4703 du journal Security, activent Credential Guard et retirent ce droit via GPO.
Comment se défendre contre SeDebugPrivilege ?
Les défenses contre SeDebugPrivilege combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SeDebugPrivilege ?
Noms alternatifs courants : SeDebug, Droit Deboguer les programmes.
● Termes liés
- identity-access№ 1162
Impersonation de token
Technique d'elevation de privileges Windows (MITRE ATT&CK T1134) ou un attaquant duplique un token d'acces existant et l'utilise pour executer du code dans le contexte d'un autre utilisateur.
- identity-access№ 1194
User Account Control (UAC)
Fonctionnalite de securite Windows introduite avec Vista qui execute les sessions interactives avec un jeton limite et demande consentement ou identifiants avant qu'une action administrative ne s'eleve.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.