Foi descoberta uma vulnerabilidade no protocolo Remote Procedure Call (RPC) do Microsoft Windows que permite que invasores manipulem as comunicações do sistema principal e lancem ataques sofisticados de falsificação de servidor.
A falha, designada CVE-2025-49760, permite que usuários sem privilégios se mascarem como serviços legítimos do sistema e potencialmente escalem privilégios ou roubem credenciais confidenciais.
Pesquisador de segurança SafeBreach descoberto a vulnerabilidade por meio de uma nova técnica de “envenenamento de EPM” que explora pontos fracos no Endpoint Mapper (EPM) do Windows, um componente crítico que conecta clientes RPC aos servidores pretendidos.
O EPM funciona de forma semelhante a um servidor DNS, resolvendo identificadores de interface para endpoints específicos, mas não possui mecanismos de verificação adequados para evitar registros não autorizados.
O mecanismo de ataque
A vulnerabilidade decorre da falha do EPM em verificar se os processos que tentam registrar interfaces RPC são serviços legítimos.
Os invasores podem explorar isso registrando interfaces conhecidas e integradas antes que os serviços legítimos sejam iniciados, sequestrando efetivamente as conexões do cliente.
Esse ataque de “condição de raça” não requer privilégios administrativos, tornando-o particularmente preocupante.
O pesquisador desenvolveu duas ferramentas para demonstrar o ataque: RPC-Recon, que identifica interfaces vulneráveis que se registram tardiamente no processo de inicialização, e RPC-Racer, que executa a exploração real.
Nos testes, as ferramentas forçaram com sucesso processos protegidos, incluindo Windows Serviços de atualização e otimização de entrega, para se conectar a servidores não autorizados controlados pelo invasor.
As implicações vão muito além da simples interrupção do serviço. Em uma demonstração, os pesquisadores manipularam com sucesso um Protected Process Light (PPL) – um dos tipos de processo mais seguros do Windows – para autenticar com servidores controlados por invasores.
Essa autenticação forçada divulgou o hash NTLM da conta da máquina, credenciais normalmente reservadas para operações no nível do sistema.
O ataque se torna particularmente perigoso em ambientes do Active Directory. Ao combinar a exploração de RPC com ataques baseados em certificados, como o ESC8, os invasores podem escalar de usuários com poucos privilégios para controladores de domínio, comprometendo infraestruturas de rede inteiras.
A Microsoft abordou a vulnerabilidade com um patch lançado em 8 de julho de 2025, após ser notificado em março.
A correção visa especificamente o cliente RPC do Serviço de Armazenamento implementando controles de QOS (Qualidade de Serviço) de segurança que verificam a identidade do servidor antes de estabelecer conexões.
No entanto, o patch aborda apenas uma interface vulnerável. Especialistas em segurança alertam que vários outros clientes e interfaces RPC provavelmente permanecem suscetíveis a ataques semelhantes de envenenamento de EPM, exigindo vigilância contínua e medidas de segurança adicionais.
As organizações podem implementar várias estratégias de detecção, incluindo o monitoramento de chamadas de API RpcEpRegister para registros de interface não autorizados e a análise de logs de rastreamento de eventos do Windows para padrões de atividade RPC suspeitos.
O provedor Microsoft-Windows-RPC gera eventos detalhados que podem ajudar a identificar quando processos desconhecidos recebem conexões em interfaces conhecidas.
Essa descoberta destaca as fraquezas fundamentais do design na arquitetura de comunicação entre processos do Windows e ressalta a necessidade de mecanismos de verificação aprimorados em protocolos críticos do sistema.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!