Redazione RHC : 21 septiembre 2025 20:58
Los expertos de SafeBreach han revelado detalles de una vulnerabilidad en el protocolo de Llamada a Procedimiento Remoto (RPC) de Windows , parcheada por Microsoft en la actualización de julio de 2025. La falla, CVE-2025-49760, permitía a un atacante realizar ataques de suplantación de identidad y suplantar la identidad de un servidor legítimo mediante el mecanismo de almacenamiento de Windows. Ron Ben Yizak habló sobre el descubrimiento en la conferencia DEF CON 33.
El protocolo RPC se basa en identificadores únicos de interfaz (UUID) y el servicio Endpoint Mapper (EPM), que asigna las solicitudes de los clientes a los endpoints dinámicos de los servidores registrados. Esta vulnerabilidad dio lugar a un ataque de envenenamiento de EPM , en el que un usuario sin privilegios podía registrar una interfaz en el servicio integrado y forzar la autenticación del proceso protegido en un servidor arbitrario. Similar a la suplantación de DNS, el ataque modifica la asignación de UUID a endpoints, redirigiendo al cliente a una fuente falsa.
El problema se agrava porque EPM no verifica la autenticidad del registrador de interfaces. Esto permitió que una interfaz perteneciente a un servicio con inicio diferido o manual se capturara antes de que el proceso la registrara. Esto permitió a un atacante secuestrar la conexión sin derechos de administrador.
SafeBreach creó una herramienta llamada RPC-Racer que podía detectar servicios RPC inseguros, como el Servicio de Almacenamiento (StorSvc.dll), y redirigir las solicitudes desde un proceso PPL seguro, como la Optimización de Entrega (DoSvc.dll), a un servidor SMB controlado por el atacante. Esto provocaba que el proceso se autenticara con la cuenta del equipo mediante un hash NTLM, que posteriormente podría utilizarse en un ataque ESC8 para elevar privilegios mediante los Servicios de Certificados de Active Directory (ADCS). Con herramientas como Certipy, pudieron obtener el TGT de Kerberos y acceder a todos los secretos del controlador de dominio .
El ciclo completo del ataque incluyó la creación de una tarea que se ejecutaba al iniciar sesión el usuario, el registro de la interfaz del servicio de almacenamiento , la activación de una llamada de Optimización de Entrega a un servidor ficticio, el envío de un enlace SMB a un recurso malicioso y la extracción del hash NTLM. Los datos NTLM se utilizaron posteriormente para obtener un certificado y asignar derechos a nivel de dominio.
Además de la escalada directa, el envenenamiento de EPM puede utilizarse para ataques de intermediario (MitM), redirigiendo solicitudes al servicio original, o para ataques de denegación de servicio (DSP), registrando múltiples interfaces y bloqueando solicitudes. SafeBreach señala que otros clientes del sistema podrían ser vulnerables a este secuestro.
Para detectar estos ataques, se recomienda supervisar las llamadas a RpcEpRegister y utilizar el Seguimiento de Eventos para Windows (ETW) para capturar los eventos generados por las aplicaciones y los controladores. Según los investigadores, de forma similar a cómo la fijación SSL verifica una clave específica, el EPM debe verificar la identidad del servidor RPC; de lo contrario, los clientes confiarán en fuentes no verificadas.
RedazioneLa cita, “Definitivamente construiremos un búnker antes de lanzar AGI”, que inspiró el artículo, fue atribuida a un líder de Silicon Valley, aunque no está claro exactamente a quién se refer...
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
