Código HTML do Conteúdo

Post: Vulnerabilidade no protocolo RPC do Windows: ataques de falsificação e falsificação de identidade relatados

<div> <div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default"> <div> <div> <p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:21 Setembro 2025 20:57</b></span></p> <p>Especialistas em SafeBreach <a href="https://www.safebreach.com/blog/you-snooze-you-lose-winning-rpc-endpoints/" target="_blank">revelaram</a> detalhes de uma vulnerabilidade no <strong>Chamada de Procedimento Remoto (RPC) do Windows</strong> , corrigido pela Microsoft na atualiza&ccedil;&atilde;o de julho de 2025. A falha, <a href="https://www.redhotcyber.com/servizi/cve/?cve_id=CVE-2025-49760" target="_new _blank">CVE-2025-49760</a>, permitiu que um invasor realizasse ataques de falsifica&ccedil;&atilde;o e se passasse por um servidor leg&iacute;timo usando o mecanismo de armazenamento do Windows. Ron Ben Yizak <a href="https://defcon.org/html/defcon-33/dc-33-speakers.html#content_60313" target="_blank">Discutido</a> a descoberta na confer&ecirc;ncia DEF CON 33.</p> <p>O protocolo RPC depende de identificadores de interface exclusivos (UUIDs) e do servi&ccedil;o Endpoint Mapper (EPM), que mapeia as solicita&ccedil;&otilde;es do cliente para os endpoints din&acirc;micos dos servidores registrados. A vulnerabilidade <a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49760" target="_blank">Aberto</a> o caminho para um chamado <strong>Ataque de envenenamento por EPM</strong> , no qual um usu&aacute;rio sem privil&eacute;gios pode registrar uma interface no servi&ccedil;o incorporado e for&ccedil;ar o processo protegido a se autenticar em um servidor arbitr&aacute;rio. Semelhante &agrave; falsifica&ccedil;&atilde;o de DNS, o ataque altera o mapeamento de UUIDs para endpoints, redirecionando o cliente para uma fonte falsa.</p> <p>O problema &eacute; agravado pelo fato de que o EPM n&atilde;o verifica a autenticidade do registrador de interface. Isso permitiu que uma interface pertencente a um servi&ccedil;o atrasado ou iniciado manualmente fosse capturada antes que o processo real a registrasse. Isso permitiu que um invasor sequestrasse a conex&atilde;o sem direitos de administrador.</p> <p>O SafeBreach criou uma ferramenta chamada <a href="https://github.com/SafeBreach-Labs/RPC-Racer" target="_blank">RPC-Racer</a> que poderia <em>detectar servi&ccedil;os RPC inseguros, como o Servi&ccedil;o de Armazenamento (StorSvc.dll), e redirecionar solicita&ccedil;&otilde;es de um processo PPL seguro, como a Otimiza&ccedil;&atilde;o de Entrega (DoSvc.dll), para um servidor SMB controlado por invasores.</em> Isso faria com que o processo fosse autenticado com a conta do computador passando um hash NTLM, que poderia ser usado em um ataque ESC8 para elevar privil&eacute;gios por meio dos Servi&ccedil;os de Certificados do Active Directory (ADCS). Usando ferramentas como <a href="https://github.com/ly4k/Certipy" target="_blank">Certipy,</a> eles foram capazes de obter o <em>TGT Kerberos e acessar todos os segredos do controlador de dom&iacute;nio</em> .</p> <p>Todo o ciclo de ataque incluiu <strong>Criando uma tarefa para ser executada no login do usu&aacute;rio, registrando a interface do servi&ccedil;o de armazenamento</strong> , <strong>disparar uma chamada de Otimiza&ccedil;&atilde;o de Entrega para um servidor fict&iacute;cio, enviar um link SMB para um recurso mal-intencionado e extrair o hash NTLM. Os dados NTLM foram usados para obter um certificado e atribuir direitos no n&iacute;vel do dom&iacute;nio.</strong></p> <p>Al&eacute;m do escalonamento direto, o envenenamento de EPM pode ser usado para ataques Man-in-the-Middle (MitM), redirecionando solicita&ccedil;&otilde;es para o servi&ccedil;o original ou para ataques de nega&ccedil;&atilde;o de servi&ccedil;o, registrando v&aacute;rias interfaces e bloqueando solicita&ccedil;&otilde;es. O SafeBreach aponta que outros clientes no sistema podem estar vulner&aacute;veis a esse sequestro.</p> <p>Para detectar esses ataques, &eacute; recomend&aacute;vel monitorar chamadas RpcEpRegister e usar o ETW (Rastreamento de Eventos para Windows) para capturar eventos gerados por aplicativos e drivers. De acordo com os pesquisadores, semelhante &agrave; forma como a fixa&ccedil;&atilde;o SSL verifica uma chave espec&iacute;fica, o EPM deve verificar a identidade do servidor RPC, caso contr&aacute;rio, os clientes confiar&atilde;o em fontes n&atilde;o verificadas.</p> <div> <div> <div> <div> <p><b><span>Reda&ccedil;&atilde;o</span></b><br /><span>A equipe editorial da Red Hot Cyber &eacute; composta por um grupo de indiv&iacute;duos e fontes an&ocirc;nimas que colaboram ativamente para fornecer informa&ccedil;&otilde;es e not&iacute;cias antecipadas sobre seguran&ccedil;a cibern&eacute;tica e computa&ccedil;&atilde;o em geral.</span></p> <p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p> </div> </div> </div> </div> </div> </div> </div></div>