CVE-2025-49760 — уязвимость, которая превращает любого пользователя в администратора домена

Microsoft Windows RPC CVE-2025-49760 SafeBreach EPM-poisoning PPL NTLM
CVE-2025-49760 — уязвимость, которая превращает любого пользователя в администратора домена
Microsoft Windows RPC CVE-2025-49760 SafeBreach EPM-poisoning PPL NTLM

Пара секунд после загрузки, и весь домен уже под контролем посторонних.

image

Специалисты SafeBreach раскрыли подробности уязвимости в протоколе Windows Remote Procedure Call ( RPC ), исправленной Microsoft в июльском обновлении 2025 года. Брешь CVE-2025-49760 с оценкой CVSS 3.5 позволяла злоумышленнику проводить атаки спуфинга и выдавать себя за легитимный сервер, используя механизм Windows Storage. О находке рассказал Рон Бен Йижак на конференции DEF CON 33.

RPC-протокол опирается на уникальные идентификаторы интерфейсов ( UUID ) и службу Endpoint Mapper (EPM), которая связывает клиентские запросы с динамическими конечными точками зарегистрированных серверов. Уязвимость открывала путь к так называемой EPM-poisoning атаке, при которой не имеющий привилегий пользователь мог зарегистрировать интерфейс встроенной службы и заставить защищённый процесс аутентифицироваться на произвольном сервере. По аналогии с подменой DNS , атака меняет сопоставление UUID и конечной точки, перенаправляя клиента к поддельному источнику.

Проблема усугубляется тем, что EPM не проверяет подлинность регистратора интерфейса. Это позволяло занять интерфейс, принадлежащий сервису с отложенным запуском или ручным стартом, ещё до того, как его зарегистрирует настоящий процесс. Таким образом атакующий мог перехватить соединение, не обладая администраторскими правами.

SafeBreach создала инструмент RPC-Racer , способный выявлять такие небезопасные RPC-службы, например Storage Service (StorSvc.dll), и перенаправлять запросы от защищённого процесса PPL, такого как Delivery Optimization (DoSvc.dll), на подконтрольный SMB-сервер. В результате процесс проходил аутентификацию с учётной записью компьютера, передавая NTLM-хэш, который затем можно было использовать в ESC8-атаке для повышения привилегий через службу сертификатов Active Directory (AD CS). С помощью утилит вроде Certipy можно было получить Kerberos TGT и получить доступ ко всем секретам контроллера домена.

Весь цикл атаки включал создание задачи, выполняемой при входе пользователя, регистрацию интерфейса Storage Service, провоцирование обращения Delivery Optimization к поддельному серверу, передачу SMB-ссылки на вредоносный ресурс и извлечение NTLM-хэша. После этого NTLM-данные использовались для получения сертификата и эскалации прав до уровня домена.

Помимо прямой эскалации, EPM-poisoning может применяться для атак типа «человек посередине» (Man-in-the-Middle, MitM ), перенаправляя запросы на исходный сервис, или для отказа в обслуживании, регистрируя множество интерфейсов и блокируя запросы. SafeBreach отмечает, что в системе могут быть и другие клиенты, уязвимые для подобного перехвата.

Для обнаружения таких атак рекомендуется отслеживать вызовы RpcEpRegister и использовать Event Tracing for Windows (ETW) для фиксации событий, создаваемых приложениями и драйверами. По мнению исследователей, аналогично тому, как SSL pinning проверяет конкретный ключ, EPM должен верифицировать личность RPC-сервера, иначе клиенты будут доверять неподтверждённым источникам.