新型Windows RPC攻击可劫持服务并完全攻陷Active Directory,PoC已公开
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
安全研究员发现Windows RPC协议存在CVE-2025-49760漏洞,攻击者可劫持服务并窃取机器账户凭据,导致Active Directory完全沦陷。微软已发布补丁,建议监控可疑接口注册。
🎯
关键要点
- 安全研究员发现Windows RPC协议存在CVE-2025-49760漏洞,攻击者可劫持服务并窃取机器账户凭据。
- 该漏洞允许低权限用户伪装成知名RPC服务器,攻击者可在合法服务之前注册恶意接口。
- 攻击工具RPC-Racer能够检测不安全的RPC服务并拦截高权限进程的连接。
- 攻击链通过诱骗高权限服务连接到攻击者端点,获取机器账户凭据,实现Active Directory完全沦陷。
- 微软已发布补丁,修复存储服务RPC客户端以确保安全连接。
- 建议监控RpcEpRegister调用,检测可疑接口注册,并应用微软补丁。
➡️
