Los investigadores de seguridad cibernética han presentado nuevos hallazgos relacionados con un problema de seguridad ahora empapado en el protocolo de comunicación de llamadas de procedimiento remoto de Windows de Microsoft (RPC) que podría ser abusado por un atacante para realizar ataques de falsificación y hacerse sobrevenir por un servidor conocido.
La vulnerabilidad, rastreada como CVE-2025-49760 (puntaje CVSS: 3.5), ha sido descrito por el cíclope tecnológico como un error de falsificación de almacenamiento de Windows. Fue arreglado en julio de 2025 como parte de su aggiornamento mensual del martes de parche. Los detalles del defecto de seguridad fueron compartidos por el investigador de SafeBreach, Ron Ben Yizhak, en la Conferencia de Seguridad DEF CON 33 esta semana.
“El control foráneo del nombre de archivo o la ruta en el almacenamiento de Windows permite que un atacante acreditado realice la suplantación de suplantación en una red”, dijo la compañía en un aviso publicado el mes pasado.
El protocolo RPC de Windows utiliza identificadores internacionalmente únicos (UUID) y un mapeador de punto final (EPM) para habilitar el uso de puntos finales dinámicos en las comunicaciones del servidor cliente y conectar un cliente RPC a un punto final registrado por un servidor.
La vulnerabilidad esencialmente permite manipular un componente central del protocolo RPC y en el decorado de lo que se apasionamiento un ataque de envenenamiento EPM que permite a los usuarios no privilegiados posar como un servicio verdadero e incorporado con el objetivo de coaccionar un proceso protegido para autenticarse contra un servidor injustificado de un atacante referéndum.
Donado que el funcionamiento de EPM es análogo al del Sistema de nombres de dominio (DNS): asigna una interfaz uuida a un punto final, solo el DNS resuelve un dominio a una dirección IP a los sitios web de Maloss, en el que un actor de amena
- Envenenar el EPM
- Disfrazarse como un servidor RPC verdadero
- Manipular clientes RPC
- Ganar una ascensión de privilegio particular/de dominio a través de un ataque con ESC8
“Me sorprendió descubrir que ausencia me impidió registrar interfaces integradas conocidas que pertenecen a los servicios principales”, dijo Ben Yizhak en un referencia compartido con Hacker News. “Esperaba, por ejemplo, si el defensor de Windows tuviera un identificador único, ningún otro proceso podría registrarlo. Pero ese no fue el caso”.
“Cuando intenté registrar una interfaz de un servicio que fue desactivado, su cliente se conectó a mí. En su área, este hallazgo fue increíble: no hubo controles de seguridad completados por el EPM. Conectó a los clientes con un proceso desconocido que ni siquiera se estaba ejecutando con privilegios de distribución”.
El quid del ataque depende de la búsqueda de interfaces que no se asignen a un punto final, así como aquellos que podrían registrarse preciso luego de que el sistema inicie aprovechando el hecho de que muchos servicios están establecidos para “retrasar el inicio” por razones de rendimiento, y hacer que el proceso de puesta en marcha sea más rápido.
En otras palabras, cualquier servicio con una startup manual es un peligro de seguridad, ya que la interfaz RPC no se registraría en el puesta en marcha, lo que lo hace susceptible a un secuestro al permitir que un atacante registre una interfaz antaño de que el servicio diferente lo haga.
SafeBreach incluso ha valiente una aparejo indicación RPC-Racer que puede estilarse para marcar los servicios de RPC inseguros (por ejemplo, el servicio de almacenamiento o el storsvc.dll) y manipular un proceso de luz de proceso protegido (PPL) (por ejemplo, el servicio de optimización de entrega o dosvc.dll) para autenticar la cuenta de la máquina contra cualquier servidor seleccionado por el atacante.
La tecnología PPL garantiza que el sistema operante solo cargue servicios y procesos de confianza, y salvaguardas que ejecutan procesos desde la terminación o infección por código pillo. Fue introducido por Microsoft con el emanación de Windows 8.1.
En un detención nivel, toda la secuencia de ataque es la sucesivo –
- Cree una tarea programada que se ejecutará cuando el favorecido flagrante inicie sesión
- Registre la interfaz del servicio de almacenamiento
- Activar el servicio de optimización de entrega para mandar una solicitud RPC al servicio de almacenamiento, lo que resulta en que se conecte al punto final dinámico del atacante
- Llame al método getStoreGeGeEviceInfo (), que hace que el servicio de optimización de entrega reciba una bono SMB a un servidor Rogue creado por el atacante
- El servicio de optimización de entrega se autentica con el servidor SMB pillo con las credenciales de la cuenta de la máquina, filtrando el hash NTLM
- ETAPA Un ataque ESC8 para transmitir los hashes de NTLM coaccionados a los Servicios de inscripción de certificados (AD CS) basados en la web y conquistar la ascensión de privilegios
Para conquistar esto, se puede utilizar una aparejo ataque de código hendido como Certipy para solicitar un boleto de devolución de boletos de Kerberos (TGT) utilizando el certificado generado al sobrevenir la información NTLM al servidor AD CS, y luego aprovecharlo para descargar todos los secretos del compensador de dominio.
SafeBreach dijo que la técnica de envenenamiento EPM podría ampliarse aún más para realizar ataques adversarios en el medio (AITM) y de denegación de servicio (DOS) enviando las solicitudes al servicio diferente o registrando muchas interfaces y negando las solicitudes, respectivamente. La compañía de ciberseguridad incluso señaló que podría acontecer otros clientes e interfaces que probablemente sean vulnerables al envenenamiento por EPM.
Para detectar mejor este tipo de ataques, los productos de seguridad pueden monitorear las llamadas a RPCEPRegister y usar el rastreo de eventos para Windows (ETW), una característica de seguridad que registra eventos que se plantean por aplicaciones en modo de favorecido y controladores de modo de kernel.
“Al igual que el fijación de SSL verifica que el certificado no solo es válido, sino que usa una esencia pública específica, la identidad de un servidor RPC debe veracidad”, dijo Ben Yizhak.
“El diseño flagrante del mapeador de punto final (EPM) no realiza esta demostración. Sin esta demostración, los clientes aceptarán datos de fuentes desconocidas. Encomendar en estos datos le permite a un atacante controlar las acciones del cliente y manipularlo a la voluntad del atacante”.
