El Servicio de subsistema de autoridad de seguridad local ( LSASS ) [1] es un proceso de los sistemas operativos Microsoft Windows que se encarga de hacer cumplir la política de seguridad en el sistema. Verifica el inicio de sesión de los usuarios en una computadora o servidor Windows, gestiona los cambios de contraseñas y crea tokens de acceso . [2] También escribe en el registro de seguridad de Windows .
La terminación forzosa de lsass.exe provocará que el sistema pierda el acceso a cualquier cuenta, incluida NT AUTHORITY, lo que provocará un reinicio de la máquina. Debido a que lsass.exe es un archivo crucial del sistema, su nombre suele ser falsificado por malware. El archivo lsass.exe utilizado por Windows se encuentra en el directorio %WINDIR%\System32 y la descripción del archivo es Local Security Authority Process . Si se está ejecutando desde cualquier otra ubicación, es muy probable que lsass.exe sea un virus , spyware , troyano o gusano . Debido a la forma en que algunos sistemas muestran las fuentes, los desarrolladores malintencionados pueden nombrar el archivo con algo como Isass.exe (con "i" mayúscula en lugar de una "L" minúscula) en un esfuerzo por engañar a los usuarios para que instalen o ejecuten un archivo malicioso en lugar del archivo de sistema de confianza. [3] El gusano Sasser se propaga explotando un desbordamiento de búfer en el LSASS en los sistemas operativos Windows XP y Windows 2000 .