Redazione RHC : 21 septiembre 2025 20:58
Los expertos de SafeBreach han revelado detalles de una vulnerabilidad en el protocolo de Llamada a Procedimiento Remoto (RPC) de Windows , parcheada por Microsoft en la actualización de julio de 2025. La falla, CVE-2025-49760, permitía a un atacante realizar ataques de suplantación de identidad y suplantar la identidad de un servidor legítimo mediante el mecanismo de almacenamiento de Windows. Ron Ben Yizak habló sobre el descubrimiento en la conferencia DEF CON 33.
El protocolo RPC se basa en identificadores únicos de interfaz (UUID) y el servicio Endpoint Mapper (EPM), que asigna las solicitudes de los clientes a los endpoints dinámicos de los servidores registrados. Esta vulnerabilidad dio lugar a un ataque de envenenamiento de EPM , en el que un usuario sin privilegios podía registrar una interfaz en el servicio integrado y forzar la autenticación del proceso protegido en un servidor arbitrario. Similar a la suplantación de DNS, el ataque modifica la asignación de UUID a endpoints, redirigiendo al cliente a una fuente falsa.
El problema se agrava porque EPM no verifica la autenticidad del registrador de interfaces. Esto permitió que una interfaz perteneciente a un servicio con inicio diferido o manual se capturara antes de que el proceso la registrara. Esto permitió a un atacante secuestrar la conexión sin derechos de administrador.
SafeBreach creó una herramienta llamada RPC-Racer que podía detectar servicios RPC inseguros, como el Servicio de Almacenamiento (StorSvc.dll), y redirigir las solicitudes desde un proceso PPL seguro, como la Optimización de Entrega (DoSvc.dll), a un servidor SMB controlado por el atacante. Esto provocaba que el proceso se autenticara con la cuenta del equipo mediante un hash NTLM, que posteriormente podría utilizarse en un ataque ESC8 para elevar privilegios mediante los Servicios de Certificados de Active Directory (ADCS). Con herramientas como Certipy, pudieron obtener el TGT de Kerberos y acceder a todos los secretos del controlador de dominio .
El ciclo completo del ataque incluyó la creación de una tarea que se ejecutaba al iniciar sesión el usuario, el registro de la interfaz del servicio de almacenamiento , la activación de una llamada de Optimización de Entrega a un servidor ficticio, el envío de un enlace SMB a un recurso malicioso y la extracción del hash NTLM. Los datos NTLM se utilizaron posteriormente para obtener un certificado y asignar derechos a nivel de dominio.
Además de la escalada directa, el envenenamiento de EPM puede utilizarse para ataques de intermediario (MitM), redirigiendo solicitudes al servicio original, o para ataques de denegación de servicio (DSP), registrando múltiples interfaces y bloqueando solicitudes. SafeBreach señala que otros clientes del sistema podrían ser vulnerables a este secuestro.
Para detectar estos ataques, se recomienda supervisar las llamadas a RpcEpRegister y utilizar el Seguimiento de Eventos para Windows (ETW) para capturar los eventos generados por las aplicaciones y los controladores. Según los investigadores, de forma similar a cómo la fijación SSL verifica una clave específica, el EPM debe verificar la identidad del servidor RPC; de lo contrario, los clientes confiarán en fuentes no verificadas.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
