Redazione RHC : 21 septiembre 2025 20:58
Los expertos de SafeBreach han revelado detalles de una vulnerabilidad en el protocolo de Llamada a Procedimiento Remoto (RPC) de Windows , parcheada por Microsoft en la actualización de julio de 2025. La falla, CVE-2025-49760, permitía a un atacante realizar ataques de suplantación de identidad y suplantar la identidad de un servidor legítimo mediante el mecanismo de almacenamiento de Windows. Ron Ben Yizak habló sobre el descubrimiento en la conferencia DEF CON 33.
El protocolo RPC se basa en identificadores únicos de interfaz (UUID) y el servicio Endpoint Mapper (EPM), que asigna las solicitudes de los clientes a los endpoints dinámicos de los servidores registrados. Esta vulnerabilidad dio lugar a un ataque de envenenamiento de EPM , en el que un usuario sin privilegios podía registrar una interfaz en el servicio integrado y forzar la autenticación del proceso protegido en un servidor arbitrario. Similar a la suplantación de DNS, el ataque modifica la asignación de UUID a endpoints, redirigiendo al cliente a una fuente falsa.
El problema se agrava porque EPM no verifica la autenticidad del registrador de interfaces. Esto permitió que una interfaz perteneciente a un servicio con inicio diferido o manual se capturara antes de que el proceso la registrara. Esto permitió a un atacante secuestrar la conexión sin derechos de administrador.
SafeBreach creó una herramienta llamada RPC-Racer que podía detectar servicios RPC inseguros, como el Servicio de Almacenamiento (StorSvc.dll), y redirigir las solicitudes desde un proceso PPL seguro, como la Optimización de Entrega (DoSvc.dll), a un servidor SMB controlado por el atacante. Esto provocaba que el proceso se autenticara con la cuenta del equipo mediante un hash NTLM, que posteriormente podría utilizarse en un ataque ESC8 para elevar privilegios mediante los Servicios de Certificados de Active Directory (ADCS). Con herramientas como Certipy, pudieron obtener el TGT de Kerberos y acceder a todos los secretos del controlador de dominio .
El ciclo completo del ataque incluyó la creación de una tarea que se ejecutaba al iniciar sesión el usuario, el registro de la interfaz del servicio de almacenamiento , la activación de una llamada de Optimización de Entrega a un servidor ficticio, el envío de un enlace SMB a un recurso malicioso y la extracción del hash NTLM. Los datos NTLM se utilizaron posteriormente para obtener un certificado y asignar derechos a nivel de dominio.
Además de la escalada directa, el envenenamiento de EPM puede utilizarse para ataques de intermediario (MitM), redirigiendo solicitudes al servicio original, o para ataques de denegación de servicio (DSP), registrando múltiples interfaces y bloqueando solicitudes. SafeBreach señala que otros clientes del sistema podrían ser vulnerables a este secuestro.
Para detectar estos ataques, se recomienda supervisar las llamadas a RpcEpRegister y utilizar el Seguimiento de Eventos para Windows (ETW) para capturar los eventos generados por las aplicaciones y los controladores. Según los investigadores, de forma similar a cómo la fijación SSL verifica una clave específica, el EPM debe verificar la identidad del servidor RPC; de lo contrario, los clientes confiarán en fuentes no verificadas.
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
