Redazione RHC : 21 septiembre 2025 20:58
Los expertos de SafeBreach han revelado detalles de una vulnerabilidad en el protocolo de Llamada a Procedimiento Remoto (RPC) de Windows , parcheada por Microsoft en la actualización de julio de 2025. La falla, CVE-2025-49760, permitía a un atacante realizar ataques de suplantación de identidad y suplantar la identidad de un servidor legítimo mediante el mecanismo de almacenamiento de Windows. Ron Ben Yizak habló sobre el descubrimiento en la conferencia DEF CON 33.
El protocolo RPC se basa en identificadores únicos de interfaz (UUID) y el servicio Endpoint Mapper (EPM), que asigna las solicitudes de los clientes a los endpoints dinámicos de los servidores registrados. Esta vulnerabilidad dio lugar a un ataque de envenenamiento de EPM , en el que un usuario sin privilegios podía registrar una interfaz en el servicio integrado y forzar la autenticación del proceso protegido en un servidor arbitrario. Similar a la suplantación de DNS, el ataque modifica la asignación de UUID a endpoints, redirigiendo al cliente a una fuente falsa.
El problema se agrava porque EPM no verifica la autenticidad del registrador de interfaces. Esto permitió que una interfaz perteneciente a un servicio con inicio diferido o manual se capturara antes de que el proceso la registrara. Esto permitió a un atacante secuestrar la conexión sin derechos de administrador.
SafeBreach creó una herramienta llamada RPC-Racer que podía detectar servicios RPC inseguros, como el Servicio de Almacenamiento (StorSvc.dll), y redirigir las solicitudes desde un proceso PPL seguro, como la Optimización de Entrega (DoSvc.dll), a un servidor SMB controlado por el atacante. Esto provocaba que el proceso se autenticara con la cuenta del equipo mediante un hash NTLM, que posteriormente podría utilizarse en un ataque ESC8 para elevar privilegios mediante los Servicios de Certificados de Active Directory (ADCS). Con herramientas como Certipy, pudieron obtener el TGT de Kerberos y acceder a todos los secretos del controlador de dominio .
El ciclo completo del ataque incluyó la creación de una tarea que se ejecutaba al iniciar sesión el usuario, el registro de la interfaz del servicio de almacenamiento , la activación de una llamada de Optimización de Entrega a un servidor ficticio, el envío de un enlace SMB a un recurso malicioso y la extracción del hash NTLM. Los datos NTLM se utilizaron posteriormente para obtener un certificado y asignar derechos a nivel de dominio.
Además de la escalada directa, el envenenamiento de EPM puede utilizarse para ataques de intermediario (MitM), redirigiendo solicitudes al servicio original, o para ataques de denegación de servicio (DSP), registrando múltiples interfaces y bloqueando solicitudes. SafeBreach señala que otros clientes del sistema podrían ser vulnerables a este secuestro.
Para detectar estos ataques, se recomienda supervisar las llamadas a RpcEpRegister y utilizar el Seguimiento de Eventos para Windows (ETW) para capturar los eventos generados por las aplicaciones y los controladores. Según los investigadores, de forma similar a cómo la fijación SSL verifica una clave específica, el EPM debe verificar la identidad del servidor RPC; de lo contrario, los clientes confiarán en fuentes no verificadas.
RedazioneOpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
Hoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
Recientemente publicamos un artículo en profundidad sobre el «robo del siglo» en el Louvre , en el que destacamos cómo la seguridad física ( acceso, control ambiental, vigilancia ) está ahora es...
Los usuarios que buscan optimizar al máximo el espacio en Windows han batido un nuevo récord. El entusiasta @XenoPanther ha logrado reducir el tamaño de una copia en ejecución de Windows 7 a tan s...
