Vulnerabilidade no protocolo RPC do Windows: ataques de falsificação e falsificação de identidade relatados

O Qilin Ransomware Ataca Profundamente as Finanças Sul-Coreanas - Against Invaders - Notícias de CyberSecurity para humanos.

Redazione RHC:21 Setembro 2025 20:57

Especialistas em SafeBreach revelaram detalhes de uma vulnerabilidade no Chamada de Procedimento Remoto (RPC) do Windows , corrigido pela Microsoft na atualização de julho de 2025. A falha, CVE-2025-49760, permitiu que um invasor realizasse ataques de falsificação e se passasse por um servidor legítimo usando o mecanismo de armazenamento do Windows. Ron Ben Yizak Discutido a descoberta na conferência DEF CON 33.

O protocolo RPC depende de identificadores de interface exclusivos (UUIDs) e do serviço Endpoint Mapper (EPM), que mapeia as solicitações do cliente para os endpoints dinâmicos dos servidores registrados. A vulnerabilidade Aberto o caminho para um chamado Ataque de envenenamento por EPM , no qual um usuário sem privilégios pode registrar uma interface no serviço incorporado e forçar o processo protegido a se autenticar em um servidor arbitrário. Semelhante à falsificação de DNS, o ataque altera o mapeamento de UUIDs para endpoints, redirecionando o cliente para uma fonte falsa.

O problema é agravado pelo fato de que o EPM não verifica a autenticidade do registrador de interface. Isso permitiu que uma interface pertencente a um serviço atrasado ou iniciado manualmente fosse capturada antes que o processo real a registrasse. Isso permitiu que um invasor sequestrasse a conexão sem direitos de administrador.

O SafeBreach criou uma ferramenta chamada RPC-Racer que poderia detectar serviços RPC inseguros, como o Serviço de Armazenamento (StorSvc.dll), e redirecionar solicitações de um processo PPL seguro, como a Otimização de Entrega (DoSvc.dll), para um servidor SMB controlado por invasores. Isso faria com que o processo fosse autenticado com a conta do computador passando um hash NTLM, que poderia ser usado em um ataque ESC8 para elevar privilégios por meio dos Serviços de Certificados do Active Directory (ADCS). Usando ferramentas como Certipy, eles foram capazes de obter o TGT Kerberos e acessar todos os segredos do controlador de domínio .

Todo o ciclo de ataque incluiu Criando uma tarefa para ser executada no login do usuário, registrando a interface do serviço de armazenamento , disparar uma chamada de Otimização de Entrega para um servidor fictício, enviar um link SMB para um recurso mal-intencionado e extrair o hash NTLM. Os dados NTLM foram usados para obter um certificado e atribuir direitos no nível do domínio.

Além do escalonamento direto, o envenenamento de EPM pode ser usado para ataques Man-in-the-Middle (MitM), redirecionando solicitações para o serviço original ou para ataques de negação de serviço, registrando várias interfaces e bloqueando solicitações. O SafeBreach aponta que outros clientes no sistema podem estar vulneráveis a esse sequestro.

Para detectar esses ataques, é recomendável monitorar chamadas RpcEpRegister e usar o ETW (Rastreamento de Eventos para Windows) para capturar eventos gerados por aplicativos e drivers. De acordo com os pesquisadores, semelhante à forma como a fixação SSL verifica uma chave específica, o EPM deve verificar a identidade do servidor RPC, caso contrário, os clientes confiarão em fontes não verificadas.

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.